Kimlik Avı Operatörleri Terk Edilmiş Web Sitelerini Tuzak İçin Hazır Hale Getiriyor

Kaspersky'nin yeni bir araştırmasına göre saldırganlar, kimlik avı sayfalarını barındırmak için giderek daha fazla terk edilmiş ve neredeyse hiç bakımı yapılmayan web sitelerini hedef alıyor.

Yaygın olarak kullanılan içerik yönetim sistemindeki bilinen güvenlik açıklarının ve çok sayıda eklentinin çok sayıda olması nedeniyle, çoğu durumda kimlik avcılarının odak noktası WordPress siteleridir.

Güvenliği Tehlikeye Giren Çok Sayıda Web Sitesi

Kaspersky'deki araştırmacılar yakın zamanda, tehdit aktörlerinin kimlik avı sayfalarını barındırmak amacıyla 22,400 Mayıs ortası ile Temmuz sonu arasında ele geçirdiği 15 benzersiz WordPress web sitesini saydı. Bu sayı, saldırganların kontrol paneline açık erişim sağladıkları için kelimenin tam anlamıyla girebildikleri web sitelerinin yanı sıra, saldırganların güvenlik açığından yararlanma, kimlik bilgileri hırsızlığı ve diğer yollarla sızmak zorunda kaldığı siteleri de içeriyordu. Kaspersky, kullanıcıların, tehdit aktörlerinin bu web sitelerinde barındırdığı kimlik avı sayfalarını ziyaret etmek için 200,213 girişimde bulunduğunu tespit etti.

Kaspersky, "Hem uzun süredir ihmal edilen hem de aktif olarak bakımı yapılan web siteleri bu şekilde hedef alınabilir" dedi. bu hafta rapor et. "Özellikle bilgisayar korsanları, sahiplerinin varlığını hemen fark edemediği daha küçük web sitelerini tehlikeye atma eğilimindedir."

Kimlik avı, saldırganlar için en popüler ilk erişim yöntemlerinden biri olmaya devam ediyor çünkü bu konuda ne kadar başarılı oldular. Bu başarının temelinde, kullanıcıların kimlik bilgilerini ve diğer hassas bilgilerini paylaşacak kadar güvenebilecekleri ikna edici web siteleri ve sayfalar oluşturma yetenekleri vardır.

Kaspersky araştırmacıları, dolandırıcılığı iyileştirmek için kimlik avı operatörlerinin bazen sitede kimlik avı sayfaları yayınlarken bile güvenliği ihlal edilmiş bir web sitesinin ana işlevlerine dokunmadıklarını buldu. Kaspersky, "Bir ziyaretçi sitenin saldırıya uğradığını asla tahmin edemez: her bölüm olması gerektiği yerdedir ve yalnızca ilgili bilgiler görülebilir" dedi. Güvenlik sağlayıcısı, saldırganların bunun yerine kimlik avı sayfalarını web sitesinin menüsünden erişilemeyen yeni dizinlerin içine gizlediğini söyledi.

Kolay Seçimler

Uzun süredir ihmal edilen alan adları saldırganlar için de caziptir çünkü kimlik avı sayfaları bu alan adlarında da uzun süre etkin kalabilir. Genel olarak kimlik avı sayfalarının nispeten kısa yaşam döngüsü göz önüne alındığında, bu durum saldırganlar için özellikle önemli olabilir. Aralık 2021'de Kaspersky, durumunu özetleyen bir rapor yayınladı. Kimlik avı sayfalarının yaşam döngüsünün analizi. Çalışma, kimlik avı sayfalarının %33'ünün yayına girdikten sonraki tek bir gün içinde devre dışı kaldığını gösterdi. Kaspersky araştırmacılarının araştırma için analiz ettiği 5,307 kimlik avı sayfasından 1,784'ü ilk günden sonra çalışmayı durdurdu ve birçoğu yalnızca ilk birkaç saatte devre dışı kaldı. Çalışmadaki tüm sayfaların yarısı 94 saat sonra sona erdi.

Tehdit aktörleri için, terk edilmiş ve zar zor bakımı yapılan web sitelerine girme görevi genellikle basittir. mevcut güvenlik açıkları çevrede. Daha geçen yıl, araştırmacılar ve satıcılar toplam 2,370 güvenlik açığını açıkladı WordPress'te ve eklentileri. Bunlardan en yaygın olanları arasında siteler arası komut dosyası çalıştırma, yetkilendirmeyi atlama, SQL enjeksiyonu ve bilgilerin ifşa edilmesi yer alır.

Kaspersky, genellikle bir saldırganın bir güvenlik açığı aracılığıyla bir WordPress sitesine girdiğinde, saldırganların web sitesi üzerinde uzaktan kontrolü tamamlamasına olanak tanıyan kötü amaçlı bir kabuk komut dosyası olan bir WSO Web kabuğu yüklediğini buldu. Saldırganlar daha sonra Web kabuğunu kullanarak tehlikeye atılan web sitesinin yönetici paneline girer ve sahte sayfalar yerleştirmeye başlar. Ayrıca kimlik bilgilerini, banka kartı verilerini ve bir kullanıcının kandırılarak web sitesine girmesine neden olabilecek diğer hassas bilgileri depolamak için de kontrol panelini kullanırlar. Kaspersky, bir saldırganın kontrol paneline erişimi açık bırakması durumunda internetteki herkesin verilere erişebileceğini söyledi.

Kaspersky, "Tecrübeli siber suçlular, kimlik avı tuzakları kurmanın bir yolu olarak meşru web sitelerini hackliyor" dedi. Özellikle web siteleri küçük olduğunda ve operatörler kötü amaçlı etkinlikleri tespit etme konusunda yeterli donanıma sahip olmadığında, "Hem uzun süredir ihmal edilen hem de aktif olarak bakımı yapılan web siteleri bu şekilde hedeflenebilir."

Kaspersky'nin blogu, WordPress web sitesi operatörlerinin, bir saldırganın web sitelerini hackleyip kimlik avı sayfalarını barındırmak için kullanıp kullanmadığını nasıl tespit edebileceklerine dair ipuçları sundu.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• ChartPrime. Ticaret Oyununuzu ChartPrime ile yükseltin. Buradan Erişin.
• Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
• Kaynak: https://www.darkreading.com/attacks-breaches/-phishing-operators-make-ready-use-of-abandoned-websites-for-bait