本文來(lái)自嘶吼網(wǎng),作者/lucywang。
發(fā)起網(wǎng)絡(luò)釣魚的攻擊者希望他們?cè)O(shè)計(jì)的虛假釣魚頁(yè)面盡可能花費(fèi)最少的成本來(lái)產(chǎn)生盡可能多的收入,所以他們會(huì)傾向使用各種工具和技術(shù)來(lái)逃避檢測(cè),以節(jié)省時(shí)間和成本,比如使用網(wǎng)絡(luò)釣魚工具包或Telegram木馬的自動(dòng)化。另一種深受釣魚者歡迎的策略是攻擊網(wǎng)站并在其中注入惡意內(nèi)容,而不是注冊(cè)新域名。除了在他們攻擊的網(wǎng)站中植入釣魚頁(yè)面外,攻擊者還可以竊取服務(wù)器上的所有數(shù)據(jù),并完全攻擊網(wǎng)站的運(yùn)行。
哪些網(wǎng)站最容易被攻擊者攻擊
缺乏維護(hù)的網(wǎng)站經(jīng)常會(huì)被攻擊者利用,缺乏維護(hù)和安全修復(fù)意味著它們很容易被已知的漏洞所攻擊。此外,在一個(gè)長(zhǎng)期被忽視的網(wǎng)站上,網(wǎng)絡(luò)釣魚頁(yè)面可以停留很長(zhǎng)一段時(shí)間,因?yàn)闆](méi)有人監(jiān)控發(fā)布的內(nèi)容,這正是詐騙者所尋找的。
但是,這并不意味著攻擊者不會(huì)攻擊經(jīng)常維護(hù)的網(wǎng)站。那些訪問(wèn)量很小的小型網(wǎng)站也會(huì)經(jīng)常受到攻擊威脅。他們的所有者可能沒(méi)有能力在信息安全上花費(fèi)足夠的資金或雇傭安全專業(yè)人員,他們可能不熟悉安全設(shè)置,或者他們可能相信他們的網(wǎng)站太小,攻擊者不會(huì)感興趣。然而,對(duì)于網(wǎng)絡(luò)釣魚者來(lái)說(shuō),網(wǎng)站是否可以被攻擊比其受歡迎程度更重要,因?yàn)樵p騙頁(yè)面的鏈接很可能通過(guò)電子郵件或即時(shí)通訊平臺(tái)發(fā)送。因此,即使是較小的網(wǎng)站也是被攻擊的目標(biāo)。
根據(jù)W3Techs(一個(gè)網(wǎng)絡(luò)技術(shù)調(diào)查網(wǎng)站,提供關(guān)于互聯(lián)網(wǎng)不同技術(shù)的運(yùn)用信息)的數(shù)據(jù),互聯(lián)網(wǎng)上43.1%的網(wǎng)站是由WordPress內(nèi)容管理系統(tǒng)提供支持的。有大量的第三方插件被設(shè)計(jì)用來(lái)擴(kuò)展這個(gè)流行平臺(tái)的功能。攻擊者經(jīng)常會(huì)在插件和WordPress本身中發(fā)現(xiàn)新的漏洞。本文的其余部分將處理由WordPress提供支持的攻擊者網(wǎng)站上的網(wǎng)絡(luò)釣魚頁(yè)面。
破解WordPress網(wǎng)站
大多數(shù)時(shí)候,攻擊者通過(guò)利用安全漏洞攻擊WordPress網(wǎng)站。攻擊成功后,攻擊者會(huì)上傳一個(gè)WSO webshell,并使用它來(lái)訪問(wèn)網(wǎng)站控制面板,從而繞過(guò)身份驗(yàn)證。這將向所有人打開控制面板權(quán)限,允許任何人進(jìn)行任何更改。在2023年5月,安全研究人員發(fā)現(xiàn)了超過(guò)350個(gè)可以開放訪問(wèn)控制面板的獨(dú)特域名。也就是說(shuō),實(shí)際數(shù)量要比350高得多,因?yàn)橐粋€(gè)受攻擊的控制面板可能不會(huì)一直被公眾訪問(wèn)。
被攻擊網(wǎng)站的控制面板
還有一種情況是,攻擊者可能通過(guò)強(qiáng)制使用弱密碼或使用泄露的憑證來(lái)劫持網(wǎng)站管理員的帳戶。在這種情況下,他們不需要任何額外的軟件來(lái)訪問(wèn)控制面板。他們所要做的就是登錄被攻擊的賬戶,然后開始發(fā)布虛假頁(yè)面。
有時(shí),攻擊者在發(fā)布網(wǎng)絡(luò)釣魚頁(yè)面時(shí)會(huì)保留網(wǎng)站的主要功能,這樣訪問(wèn)者永遠(yuǎn)不會(huì)意識(shí)到這個(gè)網(wǎng)站被攻擊客攻擊了,攻擊者則將他們的惡意內(nèi)容隱藏在無(wú)法從主網(wǎng)站菜單訪問(wèn)的新目錄中。
被攻擊網(wǎng)站的主頁(yè)
然而,大多數(shù)被攻擊的網(wǎng)站都攻擊了主頁(yè)上其他部分的鏈接,因?yàn)楣粽邉h除了原始目錄,取而代之的是網(wǎng)絡(luò)釣魚內(nèi)容。
攻擊者網(wǎng)站上的釣魚頁(yè)面
如果訪問(wèn)者在虛假頁(yè)面上輸入數(shù)據(jù),如網(wǎng)站憑證、包括CVV在內(nèi)的銀行卡詳細(xì)信息或其他個(gè)人信息,這些數(shù)據(jù)將存儲(chǔ)在控制面板中。如果網(wǎng)站也植入了web shell,則任何人都可以訪問(wèn)其內(nèi)容,那么受害者的數(shù)據(jù)對(duì)任何人都是可見的。
用戶數(shù)據(jù)被盜的頁(yè)面
攻擊者可能會(huì)在暗網(wǎng)上出售竊取的數(shù)據(jù),或者利用這些數(shù)據(jù)從受害者的銀行賬戶中盜取資金。此外,他們可能會(huì)利用他們收集的信息,使他們未來(lái)的騙局看起來(lái)更可信。
WordPress網(wǎng)站被攻擊的痕跡
有幾個(gè)相當(dāng)明顯的痕跡可能表明,你正在查看一個(gè)托管在受感染網(wǎng)站上的網(wǎng)絡(luò)釣魚頁(yè)面。頁(yè)面URL包含“/wp-Config/”、“/wp-content/”、“/wp-admin/”、“/wp-includes/”等文件夾,目標(biāo)目錄包含一個(gè)PHP文件。以.php為擴(kuò)展名的網(wǎng)頁(yè)可以在合法網(wǎng)站上看到,但如果與上述目錄名結(jié)合使用,則肯定是網(wǎng)絡(luò)釣魚的標(biāo)志。
網(wǎng)絡(luò)釣魚頁(yè)面:URL顯示/wp-content/,頁(yè)面名稱為login.php
主頁(yè)上的內(nèi)容顯然與網(wǎng)絡(luò)釣魚頁(yè)面無(wú)關(guān)。下面顯示的一個(gè)關(guān)于目標(biāo)設(shè)備的中文網(wǎng)站包含一個(gè)目錄,里面有一個(gè)針對(duì)法國(guó)銀行客戶的網(wǎng)絡(luò)釣魚頁(yè)面。
被攻擊的中文網(wǎng)站主頁(yè)
在同一網(wǎng)站的新目錄中有法語(yǔ)釣魚頁(yè)面
URL包含攻擊者試圖模仿的服務(wù)的正確(或修改過(guò)的)名稱,但該名稱與網(wǎng)站本身的名稱無(wú)關(guān)。
放置在“Netflix”目錄中并模仿Netflix登錄表單的網(wǎng)絡(luò)釣魚頁(yè)面
被攻擊WordPress網(wǎng)站的統(tǒng)計(jì)數(shù)據(jù)
卡巴斯基實(shí)驗(yàn)室已將被攻擊者攻擊網(wǎng)站的典型特征添加到其網(wǎng)絡(luò)威脅檢測(cè)規(guī)則中,這樣就能夠識(shí)別和阻止這種類型的網(wǎng)絡(luò)釣魚。接下來(lái)所介紹的內(nèi)容包含使用該新功能檢測(cè)到的網(wǎng)站的統(tǒng)計(jì)信息。
從2023年5月15日到7月31日,研究人員發(fā)現(xiàn)了22400個(gè)被攻擊者攻擊的WordPress網(wǎng)站,這些網(wǎng)站被用來(lái)創(chuàng)建網(wǎng)絡(luò)釣魚頁(yè)面。這一數(shù)字既包括在檢測(cè)時(shí)對(duì)控制面板開放訪問(wèn)的受攻擊網(wǎng)站,也包括未經(jīng)身份驗(yàn)證的用戶無(wú)法訪問(wèn)控制面板的受攻擊網(wǎng)站。
2023年5月15日至7月31日檢測(cè)到的被攻擊WordPress網(wǎng)站的數(shù)量
在同一時(shí)期,用戶共嘗試訪問(wèn)受感染網(wǎng)站上的虛假頁(yè)面200 213次。
2023年5月15日至7月31日,試圖訪問(wèn)被攻擊的WordPress網(wǎng)站上的釣魚頁(yè)面的次數(shù)
Netflix、銀行和流行的快遞網(wǎng)站經(jīng)常成為被攻擊的對(duì)象。
總結(jié)
經(jīng)驗(yàn)豐富的攻擊者通過(guò)攻擊合法網(wǎng)站,在其中設(shè)置網(wǎng)絡(luò)釣魚頁(yè)面來(lái)達(dá)到持久攻擊的目的。長(zhǎng)期被忽視和維護(hù)的網(wǎng)站都可能成為攻擊目標(biāo)。特別是,攻擊者傾向于攻擊一些小型網(wǎng)站。
由WordPress提供支持的網(wǎng)站通常存在漏洞,允許詐騙者使用特殊腳本輕松訪問(wèn)控制面板并發(fā)布惡意內(nèi)容。另外,攻擊者還可以暴力破解管理員的憑證或使用被盜的密碼。網(wǎng)站管理員應(yīng)該使用強(qiáng)大的、唯一的密碼和多因素認(rèn)證來(lái)保護(hù)他們的賬戶不被劫持,定期更新服務(wù)器軟件,并停用不使用的插件。
雖然攻擊者努力在偽造熱門網(wǎng)站,但用戶也可以在被攻擊的網(wǎng)站上識(shí)別出網(wǎng)絡(luò)釣魚的痕跡。特別要注意以下幾點(diǎn):
·URL中出現(xiàn)的WordPress目錄的默認(rèn)名稱;
·出現(xiàn)在其中一個(gè)目錄名稱中的仿冒名稱;
·與網(wǎng)站其他部分無(wú)關(guān)的頁(yè)面內(nèi)容;
本文翻譯自:https://securelist.com/phishing-with-hacked-sites/110334/如若轉(zhuǎn)載,請(qǐng)注明原文地址