Kaspersky’nin yeni bir araştırmasına göre saldırganlar, kimlik avı sayfalarını barındırmak için terk edilmiş ve neredeyse hiç bakım yapılmayan web sitelerini giderek daha fazla hedefliyor.
Çoğu durumda, yaygın olarak kullanılan içerik yönetim sistemindeki ve sayısız eklentisindeki çok sayıda bilinen güvenlik açığı nedeniyle, kimlik avcılarının odak noktası WordPress siteleridir.
Çok Sayıda Ele Geçirilmiş Web Sitesi
Kaspersky araştırmacıları kısa bir süre önce, tehdit aktörlerinin kimlik avı sayfalarını barındırmak için 15 Mayıs ortası ile Temmuz sonu arasında ele geçirdiği 22.400 benzersiz WordPress web sitesi saydılar. Sayı, saldırganların kontrol paneline açık erişim sağladıkları için kelimenin tam anlamıyla girebildikleri web sitelerinin yanı sıra saldırganların güvenlik açığı açıkları, kimlik bilgileri hırsızlığı ve diğer yollarla girmek zorunda kaldıkları siteleri içeriyordu. Kaspersky, tehdit aktörlerinin bu web sitelerinde barındırdığı kimlik avı sayfalarını ziyaret etmek için kullanıcılar tarafından 200.213 deneme tespit etti.
Kaspersky bu hafta yayınladığı bir raporda, “Hem uzun süredir ihmal edilen hem de aktif olarak sürdürülen web siteleri bu şekilde hedef alınabilir.” Dedi. “Bilhassa bilgisayar korsanları, sahipleri varlıklarını hemen fark edemeyen küçük web sitelerini tehlikeye atma eğilimindedir.”
Kimlik avı, ne kadar başarılı olduklarından dolayı, saldırganlar için en popüler ilk erişim vektörlerinden biri olmaya devam ediyor. Bu başarının temeli, kullanıcıların kimlik bilgilerini ve diğer hassas bilgileri paylaşacak kadar güvenebilecekleri ikna edici web siteleri ve sayfalar oluşturma becerileridir.
Kaspersky araştırmacıları, dolandırıcılığı geliştirmek için kimlik avı operatörlerinin bazen güvenliği ihlal edilmiş bir web sitesinin ana işlevlerine, sitede kimlik avı sayfaları yayınlarken bile dokunmadıklarını keşfetti. Kaspersky, “Bir ziyaretçi sitenin saldırıya uğradığını asla tahmin edemez: her bölüm olması gereken yerde ve yalnızca ilgili bilgiler görülebiliyor” dedi. Bunun yerine, saldırganlar kimlik avı sayfalarını web sitesinin menüsünde erişilemeyen yeni dizinlerin içine saklıyor, dedi güvenlik satıcısı.
Kolay Seçimler
Uzun süredir ihmal edilen alan adları, saldırganlar için de caziptir, çünkü kimlik avı sayfaları bunlarda da uzun süre etkin kalabilir. Genel olarak kimlik avı sayfalarının nispeten kısa yaşam döngüsü göz önüne alındığında, bu özellikle saldırganlar için önemli olabilir. Aralık 2021’de Kaspersky, kimlik avı sayfalarının yaşam döngüsüne ilişkin analizini özetleyen bir rapor yayınladı. Çalışma, kimlik avı sayfalarının %33’ünün yayına girdikten sonraki bir gün içinde devre dışı kaldığını gösterdi. Kaspersky araştırmacılarının çalışma için analiz ettiği 5.307 kimlik avı sayfasından 1.784’ü ilk günden sonra çalışmayı durdurdu ve birçoğu ilk birkaç saat içinde devre dışı kaldı. Çalışmadaki tüm sayfaların yarısı 94 saat sonra ortadan kalktı.
Tehdit aktörleri için, terk edilmiş ve zar zor korunan web sitelerine girme görevi, ortamda bulunan güvenlik açıkları nedeniyle genellikle basittir. Daha geçen yıl, araştırmacılar ve satıcılar, WordPress ve eklentilerde toplam 2.370 güvenlik açığı ortaya çıkardı. Bunların en yaygın olanları, siteler arası komut dosyası çalıştırma, yetkilendirme atlama, SQL enjeksiyonu ve bilgi ifşasını içerir.
Kaspersky, tipik olarak, bir saldırganın bir güvenlik açığı yoluyla bir WordPress sitesine girdiğinde, saldırganların web sitesi üzerinde tam uzaktan kontrol sağlamasına olanak tanıyan kötü amaçlı bir kabuk betiği olan bir WSO Web kabuğunu yüklediklerini buldu. Saldırganlar daha sonra güvenliği ihlal edilmiş web sitesinin yönetici paneline girmek ve üzerine sahte sayfalar yerleştirmeye başlamak için Web kabuğunu kullanır. Ayrıca, kimlik bilgilerini, banka kartı verilerini ve bir kullanıcının web sitesine girmesi için kandırılabileceği diğer hassas bilgileri depolamak için kontrol panelini kullanırlar. Kaspersky, bir saldırgan kontrol paneline erişimi açık bıraktığında, İnternet’teki herkesin verilere erişebileceğini söyledi.
Kaspersky, “Deneyimli siber suçlular, kimlik avı tuzakları kurmanın bir yolu olarak yasal web sitelerini hackliyor” dedi. “Hem uzun süredir ihmal edilen hem de aktif olarak sürdürülen web siteleri bu şekilde hedeflenebilir”, özellikle web siteleri küçük olduğunda ve operatörler kötü amaçlı etkinlikleri tespit etme konusunda yetersiz donanıma sahip olduğunda.
Kaspersky’nin blogu, WordPress web sitesi operatörlerinin, bir saldırganın web sitelerini ele geçirip geçirmediğini ve onu kimlik avı sayfalarını barındırmak için kullanıp kullanmadığını nasıl tespit edebileceğine dair ipuçları sunuyordu.