Gehackte WordPress-sites gebruikt voor helpdeskfraude
Aanvallers hebben de afgelopen dagen tal van WordPress-sites gehackt en gebruikt voor het plegen van helpdeskfraude. Daarvoor waarschuwen securitybedrijven Malwarebytes en Sucuri. Volgens Denis Sinegubko van Sucuri is er zelfs sprake van een "massale infectiegolf".
Het is echter onduidelijk hoe de aanvallers precies toegang tot de websites weten te krijgen. Jerome Segura van Malwarebytes stelt dat de getroffen WordPress-sites vaak verouderde plug-ins draaien, maar kan geen specifieke kwetsbaarheid noemen waar de aanvallers zich op richten. Securitybedrijf Wordfence meldt echter dat er bij deze aanvallen vaak verouderde versies van de Ultima Member-plug-in worden aangevallen. Zodra de aanvallers toegang tot een WordPress-site krijgen wordt er kwaadaardige code aan de database toegevoegd.
Deze code zorgt er onder andere voor dat bezoekers van de websites worden doorgestuurd naar malafide websites. De websites laten weten dat er een probleem met de computer is en het opgegeven telefoonnummer moet worden gebeld. Vervolgens wordt het slachtoffer onder druk gezet om te betalen voor het oplossen van de niet bestaande problemen of wordt er geld van de bankrekening gestolen.
De fraudewebsites maken ook gebruik van een probleem in Google Chrome waardoor het mogelijk is om de muiscursor te kapen. Dit wordt gedaan door code die de oorspronkelijke muiscursor in een transparante pixel verandert en vervolgens een afbeelding van een muiscursor ergens anders op de pagina weergeeft. De gebruiker denkt dat deze afbeelding de muiscursor is, terwijl die in werkelijkheid ergens anders op klikt. Hierdoor wordt het lastig om de pagina op de normale wijze te sluiten.
Volgens de PublicWWW-zoekmachine zijn inmiddels meer dan 1500 WordPress-sites getroffen, waaronder ook verschillende Nederlandse websites. Afsluitend laat Segura weten dat eigenaren van getroffen websites een grote schoonmaak moeten houden door besmette pagina's, databases en backdoors op te schonen. Ook zullen ze moeten achterhalen hoe de aanvallers de site konden hacken, wat vaak via verouderde WordPress-installaties of plug-ins gebeurt.
Nee, de meeste ellende wordt veroorzaakt door de zogenaamde hackers.
Wat te denken van een PHP gebaseerd CMS als WordPress in de handen van amateurs, die een beetje zitten te "knoeien" met PHP? Diegenen, die user enumeration op enabled hebben laten staan en ook directory listing op aan laten staan. Ze draaien niet de laatste versie voor de core software en de plug-ins. Ze draaien kwetsbare af te voeren jQuery bibliotheken vol errors en kwetsbaarheden *.
Word Press CMS is ook een content management software zonder toepassing van interne encryptie: https://paragonie.com/blog/2016/08/on-insecurity-popular-open-source-php-cms-platforms
Een http WordPress site "vliegt"meestal open via een Intellitamper scan en zit vol sources en sinks wanneer getest op DOM-XSS kwetsbaarheden en via een SQL scanner. Lees ook https://paragonie.com/blog/2017/12/2018-guide-building-secure-php-software Eigenlijk een contradictio in terminis - PHP en veiligheid per se, een eeuwigdurende tegenspraak in zichzelf.
Ik check al jaren websites via https://hackertarget.com/wordpress-security-scan/ en dat is niet om vrolijk van te worden. Linten met de scanner hier levert ook heel wat security issues op: https://webhint.io/ *
PHP gebruiken met diverse cheat sheets ernaast? Zelfde verhaal geldt in zekere mate ook voor Drupal en Joomla.
Als de meeste ellende veroorzaakt wordt door hackers (opm. anoniem van 13:28) en cybercriminelen ligt dat ook aan het gemak waarmee zo'n WordPress website via outdated plug-in code vaak kan worden gecompromitteerd.
Het is "en" "en". Het is de proliferatie van het Word Press CMS, het vaak brakke security niveau van de beveiliging bij web-developer, website admin en hosting party en de vaardigheid van hackers, die vaak volledig geautomatiseerd via een shodannetje etc. in kunnen breken voor hun injectie "pareltjes". Voor Magento gelt dit verhaal overigens ook. Ga maar naar magereport en de recente Willem de G. verhalen/rapporten hieromtrent.
Het verschil wordt vandaag alleen gemaakt door o.a. https en de betere cloudbeveiliging, dus nog meer security through obscurity. Een grote echte beveiligingsslag, die echt zoden aan de dijk zet, die zie ik nog vooralsnog niet gemaakt worden. "Helaas pindakaas"..
luntrus
Zelfs met 0800-nummer. Vaak kom je via de OPTA/ACM snel te weet wie de eigenaar is van een telefoonnummer, waarna een abuse-mailtje snel werkt.
De meeste developers zijn zich niet bewust van welk aanvalsoppervlak ze nog hebben "open staan". Websites ontwikkelen met "security in mind" wordt nog te weinig gedaan en er wordt ook in opleidingen nog te weinig aandacht aan besteed. Met gebruik maken van andermans code neem je ook andermans zwakheden en fouten over.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.