Использование взломанных сайтов в фишинге

Создатели фишинговых страниц заинтересованы в том, чтобы эти страницы стоили им минимальных усилий и при этом приносили как можно больше денег. Поэтому они охотно используют различные инструменты и методы, позволяющие избежать обнаружения и сэкономить время и усилия. В частности, мошенники автоматизируют фишинг с помощью фиш-китов или Telegram-ботов. Также распространены среди злоумышленников взлом сайтов и размещение на них вредоносного контента вместо регистрации собственных доменов. Этим активно занимаются мошенники разного калибра, и фишеры в том числе. Получив доступ к сайту, злоумышленники способны не только спрятать на нем фишинговую страницу, но и завладеть всеми данными на сервере и полностью нарушить работу ресурса.

Какие сайты взламывают чаще всего

В руки киберпреступников довольно часто попадают заброшенные сайты. Во-первых, их никто не поддерживает, не исправляет уязвимости в ПО, а значит, их можно взломать при помощи известных эксплойтов. Во-вторых, если сайт заброшен, то фишинговые страницы на нем могут быть активны долгое время, поскольку никто не следит за тем, что публикуется на сайте, а это и требуется мошенникам.

Однако злоумышленники могут атаковать и действующие сайты. В частности, взлому подвергаются небольшие веб-ресурсы с низкой посещаемостью. Их владельцы могут не иметь бюджета на ИБ- или хотя бы IT-специалиста, не разбираться в настройках безопасности или просто быть уверенными в том, что маленький ресурс не представляет интереса для киберпреступников. Однако если говорить о взломе с целью размещения фишинга, то важна не столько популярность сайта, сколько сама возможность его взломать, ведь ссылки на мошеннические страницы злоумышленники, скорее всего, будут распространять по почте и в мессенджерах. Поэтому даже мелкий сайт привлекает мошенников.

По данным компании W3Techs, 43,1% всех сайтов в интернете используют систему управления контентом WordPress. В силу популярности этой платформы существует множество плагинов, расширяющих ее функциональность. И в плагинах, и в самом WordPress регулярно находят различные уязвимости, которыми пользуются злоумышленники. Далее в этой статье мы будем говорить про фишинг на взломанных сайтах на WordPress.

Взлом сайтов на WordPress

Чаще всего фишеры взламывают сайты на WordPress именно через уязвимости. После успешной эксплуатации злоумышленники загружают на сервер веб-шелл WSO и с его помощью получают доступ к панели управления сайтом в обход аутентификации. Фактически панель управления при этом становится открытой для всех, и любой желающий может изменить сайт, как ему захочется. В мае 2023 года наши технологии обнаружили более 350 уникальных доменов с открытым доступом к панели управления сайтом. При этом стоит отметить, что скомпрометированная административная панель сайтов может быть общедоступной не все время, поэтому в действительности таких ресурсов, скорее всего, больше.

Панель управления взломанного сайта

Также злоумышленники могут взломать аккаунт администратора сайта, подобрав слабый пароль или воспользовавшись утекшими учетными данными. В этом случае им не нужно дополнительное ПО, чтобы получить доступ к панели управления. Достаточно войти в скомпрометированную учетную запись, чтобы опубликовать фишинговые страницы.

Иногда злоумышленники сохраняют основные функции сайта, размещая на нем фишинг. Пользователь, попав на такой ресурс, ни за что не догадается, что он взломан: все разделы сайта на месте, в них отображается только та информация, которая должна. Вредоносный контент мошенники прячут в новых директориях, в которые нельзя попасть из основного меню сайта.

Главная страница взломанного сайта

Но чаще всего кнопки на главной странице, ведущие в другие разделы, на взломанном сайте не работают, так как злоумышленники удаляют оригинальные директории и замещают их на новые — с фишингом.

Фишинговая страница на взломанном сайте

Если пользователь введет на фишинговой странице свои данные — в зависимости от типа фишинга это могут быть логин и пароль от аккаунта в определенном сервисе, данные банковской карты (включая CVV) или другая персональная информация, — то они сохраняются в панели управления сайта. Если на сайте при этом установлен веб-шелл и доступ к контенту может получить любой желающий, то и данные жертвы будут видны всем.

Страница с украденными данными пользователей

Украденные данные злоумышленники могут либо выставить на продажу в даркнете, либо использовать самостоятельно, например для вывода денег со счета жертвы. Кроме того, фишеры могут применять собранную информацию в своих новых схемах, чтобы они выглядели более убедительными.

Признаки взломанного сайта на WordPress

Существует несколько довольно очевидных признаков, по которым можно определить, что сайт взломан, а страница перед нами — мошенническая.

1. Наличие в URL-адресе страницы таких папок, как /wp-Config/, /wp-content/, /wp-admin/, /wp-includes/ и подобных и страницы в виде файла PHP в конечной директории. Стоит отметить, что веб-страницы с расширением PHP могут встречаться и на легитимных сайтах, однако в сочетании с упомянутыми названиями директорий они с высокой вероятностью указывают на фишинг.
   

   Фишинговая страница: в URL-адресе видно директорию /wp-content/, а сама страница называется login.php

2. Контент на главной странице сайта никак не связан с информацией на фишинговой странице. Ниже приведен пример сайта на компьютерную тематику на китайском языке, в одной из директорий которого размещен фишинг, нацеленный на пользователей французского банка.
   

   Главная страница взломанного сайта на китайском языке

   

   Франкоязычный фишинг в новой директории того же сайта

3. Верное или измененное название сервиса, на который нацелен фишинг, присутствует в названии одной из директорий URL-адреса, хотя не имеет ничего общего с наименованием самого сайта.
   

   Фишинговая страница, лежащая в директории Netflix сайта и имитирующая страницу авторизации этого сервиса

Статистика по взломанным WordPress-сайтам

Мы внедрили характерные признаки взломанных сайтов в наши технологии детектирования веб-угроз, для того чтобы обнаруживать и блокировать новый фишинг. В этом разделе мы приводим статистику по выявленным с помощью этой функциональности сайтам.

С 15 мая по 31 июля 2023 года нам удалось обнаружить 22400 уникальных сайтов на WordPress, которые были взломаны с целью создания фишинговых страниц. В это число входят как взломанные сайты, на которых доступ к панели управления был открыт на момент обнаружения, так и сайты, чья административная панель во время обнаружения не была доступна посторонним.

Количество обнаруженных уникальных взломанных сайтов на WordPress, 15 мая — 31 июля 2023 г. (скачать)

За тот же период пользователи совершили 200 213 попыток перехода на поддельные страницы, размещенные на взломанных сайтах.

Количество заблокированных попыток перейти на фишинговые страницы на взломанных сайтах на WordPress, 15 мая — 31 июля 2023 г. (скачать)

В список сервисов и организаций, на пользователей которых чаще всего нацелен фишинг на взломанных сайтах, входят стриминговый сервис Netflix, европейские банки и популярные службы доставки.

Выводы

Опытные киберпреступники наряду с другими методами создания фишинга прибегают к взлому легитимных сайтов. Их могут заинтересовать как заброшенные сайты, так и активные. В частности, злоумышленники взламывают небольшие сайты, чьи владельцы, как правило, далеко не сразу распознают чужое присутствие на своем ресурсе.

Сайты, созданные на WordPress, часто имеют уязвимости, которые позволяют мошенникам с помощью специального скрипта без проблем получить доступ к панели управления для публикации вредоносного контента. Кроме того, злоумышленники могут подобрать учетные данные от аккаунта администратора сайта или же воспользоваться украденными паролями. Администраторам сайтов следует использовать надежные уникальные пароли и мультифакторную аутентификацию для защиты своих аккаунтов от взлома, а также регулярно обновлять ПО на сервере до актуальной версии и отключать неиспользуемые плагины.

Хотя злоумышленники стараются создавать правдоподобные подделки под сайты интересующих их брендов, фишинг на взломанном сайте можно распознать. В частности, стоит обращать внимание на следующие индикаторы:

• стандартные названия директорий WordPress в URL-адресе;
• упоминание целевого бренда в названии одной из директорий;
• тематику страницы: фишинг, как правило, не имеет никакого отношения к основному контенту сайта.