Использование взломанных сайтов в фишинге

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Создатели фишинговых страниц заинтересованы в том, чтобы эти страницы стоили им минимальных усилий и при этом приносили как можно больше денег.


Поэтому они охотно используют различные инструменты и методы, позволяющие избежать обнаружения и сэкономить время и усилия. В частности, мошенники автоматизируют фишинг с помощью или . Также распространены среди злоумышленников взлом сайтов и размещение на них вредоносного контента вместо регистрации собственных доменов. Этим активно занимаются мошенники разного калибра, и фишеры в том числе. Получив доступ к сайту, злоумышленники способны не только спрятать на нем фишинговую страницу, но и завладеть всеми данными на сервере и полностью нарушить работу ресурса.

abstract-code-1200x600.jpeg


Какие сайты взламывают чаще всего​

В руки киберпреступников довольно часто попадают заброшенные сайты. Во-первых, их никто не поддерживает, не исправляет уязвимости в ПО, а значит, их можно взломать при помощи известных эксплойтов. Во-вторых, если сайт заброшен, то фишинговые страницы на нем могут быть , поскольку никто не следит за тем, что публикуется на сайте, а это и требуется мошенникам.

Однако злоумышленники могут атаковать и действующие сайты. В частности, взлому подвергаются небольшие веб-ресурсы с низкой посещаемостью. Их владельцы могут не иметь бюджета на ИБ- или хотя бы IT-специалиста, не разбираться в настройках безопасности или просто быть уверенными в том, что маленький ресурс не представляет интереса для киберпреступников.

Однако если говорить о взломе с целью размещения фишинга, то важна не столько популярность сайта, сколько сама возможность его взломать, ведь ссылки на мошеннические страницы злоумышленники, скорее всего, будут распространять по почте и в мессенджерах. Поэтому даже мелкий сайт привлекает мошенников.

По данным компании W3Techs, 43,1% всех сайтов в интернете . В силу популярности этой платформы существует множество плагинов, расширяющих ее функциональность. И в плагинах, и в самом WordPress различные уязвимости, которыми пользуются злоумышленники. Далее в этой статье мы будем говорить про фишинг на взломанных сайтах на WordPress.

Взлом сайтов на WordPress​

Чаще всего фишеры взламывают сайты на WordPress именно через уязвимости. После успешной эксплуатации злоумышленники загружают на сервер WSO и с его помощью получают доступ к панели управления сайтом в обход аутентификации. Фактически панель управления при этом становится открытой для всех, и любой желающий может изменить сайт, как ему захочется. В мае 2023 года наши технологии обнаружили более 350 уникальных доменов с открытым доступом к панели управления сайтом. При этом стоит отметить, что скомпрометированная административная панель сайтов может быть общедоступной не все время, поэтому в действительности таких ресурсов, скорее всего, больше.


Панель управления взломанного сайта

Также злоумышленники могут взломать аккаунт администратора сайта, подобрав слабый пароль или воспользовавшись утекшими учетными данными. В этом случае им не нужно дополнительное ПО, чтобы получить доступ к панели управления. Достаточно войти в скомпрометированную учетную запись, чтобы опубликовать фишинговые страницы.

Иногда злоумышленники сохраняют основные функции сайта, размещая на нем фишинг. Пользователь, попав на такой ресурс, ни за что не догадается, что он взломан: все разделы сайта на месте, в них отображается только та информация, которая должна. Вредоносный контент мошенники прячут в новых директориях, в которые нельзя попасть из основного меню сайта.


Главная страница взломанного сайта

Но чаще всего кнопки на главной странице, ведущие в другие разделы, на взломанном сайте не работают, так как злоумышленники удаляют оригинальные директории и замещают их на новые — с фишингом.


Фишинговая страница на взломанном сайте

Если пользователь введет на фишинговой странице свои данные — в зависимости от типа фишинга это могут быть логин и пароль от аккаунта в определенном сервисе, данные банковской карты (включая CVV) или другая персональная информация, — то они сохраняются в панели управления сайта. Если на сайте при этом установлен веб-шелл и доступ к контенту может получить любой желающий, то и данные жертвы будут видны всем.


Страница с украденными данными пользователей

Украденные данные злоумышленники могут либо выставить на продажу в даркнете, либо использовать самостоятельно, например для вывода денег со счета жертвы. Кроме того, фишеры могут применять собранную информацию в своих новых схемах, чтобы они выглядели более убедительными.

Признаки взломанного сайта на WordPress​

Существует несколько довольно очевидных признаков, по которым можно определить, что сайт взломан, а страница перед нами — мошенническая.

1. Наличие в URL-адресе страницы таких папок, как /wp-Config/, /wp-content/, /wp-admin/, /wp-includes/ и подобных и страницы в виде файла PHP в конечной директории. Стоит отметить, что веб-страницы с расширением PHP могут встречаться и на легитимных сайтах, однако в сочетании с упомянутыми названиями директорий они с высокой вероятностью указывают на фишинг.




2. Фишинговая страница: в URL-адресе видно директорию /wp-content/, а сама страница называется login.php
3. Контент на главной странице сайта никак не связан с информацией на фишинговой странице. Ниже приведен пример сайта на компьютерную тематику на китайском языке, в одной из директорий которого размещен фишинг, нацеленный на пользователей французского банка.


Главная страница взломанного сайта на китайском языке


Франкоязычный фишинг в новой директории того же сайта

1.
Верное или измененное название сервиса, на который нацелен фишинг, присутствует в названии одной из директорий URL-адреса, хотя не имеет ничего общего с наименованием самого сайта.


Фишинговая страница, лежащая в директории Netflix сайта и имитирующая страницу авторизации этого сервиса

Статистика по взломанным WordPress-сайтам​

Мы внедрили характерные признаки взломанных сайтов в наши технологии детектирования веб-угроз, для того чтобы обнаруживать и блокировать новый фишинг. В этом разделе мы приводим статистику по выявленным с помощью этой функциональности сайтам.

С 15 мая по 31 июля 2023 года нам удалось обнаружить 22400 уникальных сайтов на WordPress, которые были взломаны с целью создания фишинговых страниц. В это число входят как взломанные сайты, на которых доступ к панели управления был открыт на момент обнаружения, так и сайты, чья административная панель во время обнаружения не была доступна посторонним.

Количество обнаруженных уникальных взломанных сайтов на WordPress, 15 мая — 31 июля 2023 г. ( )

За тот же период пользователи совершили 200 213 попыток перехода на поддельные страницы, размещенные на взломанных сайтах.

Количество заблокированных попыток перейти на фишинговые страницы на взломанных сайтах на WordPress, 15 мая — 31 июля 2023 г. ( )

В список сервисов и организаций, на пользователей которых чаще всего нацелен фишинг на взломанных сайтах, входят стриминговый сервис Netflix, европейские банки и популярные службы доставки.

Выводы​

Опытные киберпреступники наряду с другими методами создания фишинга прибегают к взлому легитимных сайтов. Их могут заинтересовать как заброшенные сайты, так и активные. В частности, злоумышленники взламывают небольшие сайты, чьи владельцы, как правило, далеко не сразу распознают чужое присутствие на своем ресурсе.

Сайты, созданные на WordPress, часто имеют уязвимости, которые позволяют мошенникам с помощью специального скрипта без проблем получить доступ к панели управления для публикации вредоносного контента. Кроме того, злоумышленники могут подобрать учетные данные от аккаунта администратора сайта или же воспользоваться украденными паролями. Администраторам сайтов следует использовать надежные уникальные пароли и мультифакторную аутентификацию для защиты своих аккаунтов от взлома, а также регулярно обновлять ПО на сервере до актуальной версии и отключать неиспользуемые плагины.

Хотя злоумышленники стараются создавать правдоподобные подделки под сайты интересующих их брендов, фишинг на взломанном сайте можно распознать.

В частности, стоит обращать внимание на следующие индикаторы:
  • стандартные названия директорий WordPress в URL-адресе;
  • упоминание целевого бренда в названии одной из директорий;
  • тематику страницы: фишинг, как правило, не имеет никакого отношения к основному контенту сайта.

 
  • Теги
    взлом сайтов взломанная страница фишинг фишинговый сайт
  • Сверху Снизу