روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ فیشرها دوست دارند صفحات وبی‌شان با کمترین زحمت بالاترین درآمد را برایشان داشته باشد پس مشتاقانه از انواع ابزارها و تکنیک‌ها برای دور زدن شناسایی‌ها و صرفه‌جویی در زمان و پول استفاده می‌کنند. نمونه‌اش اتوماسیون با کیت‌های فیشینگ یا بات‌های تلگرام. تاکتیک دیگر که بین اسکمرها محبوب است –فرقی هم ندارد اسکمرها بزرگند یا کوچک و این شامل فیشرها هم می‌شود- هک کردن وبسایت‌ها و قرار دادن محتوای آلوده روی آن‌ها به جای ثبت دامنه‌های جدید است. کلاهبرداران علاوه بر قرار دادن صفجه فیشینگ داخل وبسایت می‌توانند همه داده‌های روی سرور را سرقت کرده و تماماً عملکرد سایت را مختل کنند.

کدام سایت‌ها بیشتر از همه هک می‌شوند؟

وبسایت‌های رهاشده اغلب عاقبت به سدت مجرمان سایبری می‌افتند. عدم تعمیر و نگه‌داری و ارائه پچ‌های امنیتی نتیجه‌ای جز دستکاری با استفاده از یک اکسپلویت شناخته‌شده نیست. جدا از این، صفحات فیشینگ روی سایتی که مدت زیادی است همه از آن غافلند می‌توانند مدت‌ها بمانند و این همان چیزی است که اسکمرها دنبالش هستند. اما نباید فکر کنید عاملین شرور به سایت‌های به روزشده‌ و تعمیر و نگهداری شده کاری ندارند!

وبسایت‌های کوچک‌تر که ترافیک کمتری را جذب می‌کنند از جمله مواردی هستند که می‌توانند در معرض تهدید هک قرار گیرند. صاحبان آن‌ها شاید نتوانند هزینه امنیت اطلاعات یا استخدام نیروی متخصص امنیتی را تأمین کنند؛ شاید با فضای امنیتی آشنایی ندارند یا مطمئند وبسایت‌شان انقدری کوچک هست که هکرها بدان علاقه‌ای نشان ندهند. با این وجود، برای یک فیشر امکان هک وبسایت از محبوبیت آن مهمتر است زیرا لینک‌های هدایت‌دهنده به پیج‌های اسکم احتمالاً از طریق پلت‌فرم‌های پیام‌رسان فوری ایمیل یا ارسال می‌شوند. از این رو، وبسایت‌های کوچک‌تر برای اسکمرها حتی جذاب‌تر هم هستند.

طبق آمار، 43.1 درصد از همه وبسایت‌های اینترنت از مدیریت محتوای وردپرس نیرو می‌گیرند. و کلی پلاگین طرف‌سوم وجود دارد که طراحی شدند برای توسعه کارایی این پلت‌فرم محبوب. آسیب‌پذیری‌های جدید که هکرها اکسپلویتشان کردند نیز هم در پلاگین‌های مذکور پیدا شده و هم در خود پلت‌فرم وردپرس. در ادامه این مقاله به صفحات فیشنگ روی وبسایت‌های هک‌شده که از وردپرس نیرو می‌گیرند پرداخته‌ایم:

هک کردن وبسایت‌های وُردپرس

بیشتر مواقع، فیشرهایی که وبسایت‌های وردپرس را هک می‌کنند این کار را با اکسپلویت کردن حفره‌های امنیتی انجام می‌دهند. بعد از یک اقدام موفقیت‌آمیز اکسپلویتی، هکرها یک وب‌شل WSO آپلود کرده و از آن برای دسترسی به کنترل پنل وبسایت استفاده می‌کنند. بدین‌ترتیب قسمت احراز هویت دور زده می‌شود. کنترل پنل اکنون برای هر تازه واردی باز است و همین باعث می‌شود هر کسی بتواند هر زمان خواست در آن تغییر ایجاد کند. در می 2023 سیستم‌های ما بیش از 350 دامنه منحصر به فرد با دسترسی باز به کنترل پنل کشف کردند. اما تعداد این وبسایت‌ها می‌تواند بیشتر از اینها باشد زیرا کنترل پنل دستکاری‌شده شاید همیشه قابلیت دسترسی نداشته باشد.

از طرف دیگر، عاملین مخرب ممکن است با استفاده از رمز عبوری ضعیف یا استفاده از اطلاعات کاربری فاش شده، حساب ادمین وبسایت را سرقت کنند. در این صورت برای دسترسی به کنترل پنل نیازی به نرم‌افزار اضافی ندارند. تنها کاری که آنها باید انجام دهند این است که وارد حساب کاربری در معرض خطر شده و شروع به قرار دادن صفحات جعلی کنند. گاهی اوقات، هکرها با انتشار صفحات فیشینگ، عملکرد اصلی سایت را رها می‌کنند. بازدیدکننده هرگز حدس نمی‌زند سایت هک شده است: همه‌چیز به نظر سر جایش بوده و فقط اطلاعات مرتبط قابل مشاهده است. کلاهبرداران محتوای مخرب خود را در دایرکتوری‌های جدیدی که از منوی اصلی وبسایت قابل دسترسی نیستند پنهان می‌کنند.

با این حال بیشتر وبسایت‌های هک‌شده لینک‌ها را به چند بخش در هوم‌پیج تقسیم می‌کنند زیرا هکرها دایرکتوری‌های اورجینال را پاک کرده و جای ان‌ها محتوای فیشینگ می‌گذارند. داده‌هایی مانند اطلاعات وبسایت، جزئیات کارت بانکی از جمله CVV یا سایر اطلاعات شخصی بسته به نوع کلاهبرداری، در صورتی که توسط بازدیدکننده در صفحه جعلی وارد شود، در کنترل پنل ذخیره می‌گردد. اگر در وبسایت یک شل وب نیز نصب شده باشد و هر کسی بتواند به محتوا دسترسی داشته باشد، داده‌های قربانی برای همه قابل مشاهده خواهد بود.

کلاهبرداران ممکن است داده‌های دزدیده شده را برای فروش در دارک‌وب بگذارند یا از آن برای خارج کردن پول از حساب بانکی قربانی استفاده کنند. علاوه بر این، آنها ممکن است از اطلاعاتی که جمع آوری می‌کنند استفاده کنند تا کلاهبرداری‌های آینده خود را معتبرتر جلوه دهند.

نشانه‌های سایت هک‌شده‌ی وردپرس

علایم واضحی وجود دارد که نشان می‌دهد شما دنبال پیج فیشینگ میزبانی‌شده روی وبسایت دستکاری‌شده هستید:

1.      URL صفحه شامل فولدرهایی مانند /wp-Config/، /wp-content/، /wp-admin/، /wp-includes/ یا مشابه می‌شود و فهرست مقصد حاوی یک فایل PHP است. صفحات وب با پسوند php. ممکن است در وب سایت های قانونی دیده شوند، اما زمانی که با نام دایرکتوری‌های بالا ترکیب شوند، نشانه مطمئنی از فیشینگ هستند.
2.      محتوای هوم‌پیج ظاهراً ربطی به پیج فیشینگ ندارد. وبسایت چینی مربوط به کامپیوتر برای مثال حاوی دایرکتوری با پیج فیشینگی است که در آن کلاینت‌های بانک فرانسوی مورد حمله قرار گرفتند!
3.      یوآرال حاوی نام صحیح (یا اصلاحی) سرویسی است که اسکمرها سعی دارند تقلیدش کنند اما این اسم هیچ ربطی به نام خود وبسایت ندارد.

آمار مربوط به سایت‌های هک‌شده‌ی وردپرس

ما ویژگی‌های معمول وب‌سایت‌های هک شده را به قوانین تشخیص تهدید وب خود اضافه کردیم تا فناوری خود را قادر به شناسایی و مسدود کردن این نوع فیشینگ کنیم. این بخش شامل آمار وبسایت‌هایی می‌شود که با کمک آن عملکرد جدید شناسایی شده‌اند. از 15 می تا 31 ژوئیه 2023، ما 22400 وبسایت منحصر به فرد وردپرس را کشف کردیم که برای ایجاد صفحات فیشینگ هک شده بودند.  در همان بازه زمانی، کاربران در مجموع 200213 تلاش برای بازدید از صفحات جعلی میزبانی شده در وبسایت‌های در معرض خطر انجام دادند. سرویس‌ها و سازمان‌هایی که کاربران آن‌ها بیشتر مورد هدف صفحات فیشینگ در وب‌سایت‌های هک شده قرار می‌گیرند، شامل نتفلیکس، بانک‌های اروپایی و خدمات تحویل محبوب می‌شوند.

دریافت‌ها

مجرمان سایبریِ فصلی، وبسایت‌های قانونی را به عنوان راهی برای تنظیم تله‌های فیشینگ هک می‌کنند. هم وبسایت‌ها رهاشده و هم ان‌هایی که تعمیر و نگهداری می‌شوند می‌توانند مورد هدف قرار گیرند. مشخصاً هکرها دوست دارند وبسایت‌های کوچک را دستکاری کنند زیرا صاحبان آن‌ها نمی‌توانند بلافاصله حضور آن‌ها را تشخیص دهند. وبسایت‌های نیروگرفته از وردپرس اغلب آسیب‌پذیری دارند و همین به اسکمرها اجازه می‌دهد تا راحت با استفاده از اسکریپت ویژه و نشر محتوای مخرب به کنترل پنل دسترسی پیدا کنند.

به طور جایگزین هکرها می‌توانند اطلاعات محرمانه ادمین را جستجوی فراگیر کرده یا از پسود سرقتی استفاده کنند. ادمین‌های وبسایت باید از پسوردهیا قوی و منحصر به فرد استفاده کرده و از احراز هویت دوعاملی برای محافظت از اکانت‌های خود در برابر سرقت کمک گیرند. همچنین باید به طور منظم نرم‌افزارهای سرور خود را به روز کرده و پلاگین‌هایی را که کارایی ندارند غیرفعال کنند. گرچه هکرها سخت در تلاشند تا تقلیدهایی بی‌نقص انجام دهند اما باز هم راه‌هایی هست که بشود علایم قرمز را در آن‌ها شناسایی کرد.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.