Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Gehackte WordPress-sites gebruikt voor helpdeskfraude

vrijdag 21 september 2018, 11:05 door Redactie, 7 reacties

Aanvallers hebben de afgelopen dagen tal van WordPress-sites gehackt en gebruikt voor het plegen van helpdeskfraude. Daarvoor waarschuwen securitybedrijven Malwarebytes en Sucuri. Volgens Denis Sinegubko van Sucuri is er zelfs sprake van een "massale infectiegolf".

Het is echter onduidelijk hoe de aanvallers precies toegang tot de websites weten te krijgen. Jerome Segura van Malwarebytes stelt dat de getroffen WordPress-sites vaak verouderde plug-ins draaien, maar kan geen specifieke kwetsbaarheid noemen waar de aanvallers zich op richten. Securitybedrijf Wordfence meldt echter dat er bij deze aanvallen vaak verouderde versies van de Ultima Member-plug-in worden aangevallen. Zodra de aanvallers toegang tot een WordPress-site krijgen wordt er kwaadaardige code aan de database toegevoegd.

Deze code zorgt er onder andere voor dat bezoekers van de websites worden doorgestuurd naar malafide websites. De websites laten weten dat er een probleem met de computer is en het opgegeven telefoonnummer moet worden gebeld. Vervolgens wordt het slachtoffer onder druk gezet om te betalen voor het oplossen van de niet bestaande problemen of wordt er geld van de bankrekening gestolen.

De fraudewebsites maken ook gebruik van een probleem in Google Chrome waardoor het mogelijk is om de muiscursor te kapen. Dit wordt gedaan door code die de oorspronkelijke muiscursor in een transparante pixel verandert en vervolgens een afbeelding van een muiscursor ergens anders op de pagina weergeeft. De gebruiker denkt dat deze afbeelding de muiscursor is, terwijl die in werkelijkheid ergens anders op klikt. Hierdoor wordt het lastig om de pagina op de normale wijze te sluiten.

Volgens de PublicWWW-zoekmachine zijn inmiddels meer dan 1500 WordPress-sites getroffen, waaronder ook verschillende Nederlandse websites. Afsluitend laat Segura weten dat eigenaren van getroffen websites een grote schoonmaak moeten houden door besmette pagina's, databases en backdoors op te schonen. Ook zullen ze moeten achterhalen hoe de aanvallers de site konden hacken, wat vaak via verouderde WordPress-installaties of plug-ins gebeurt.

Image

CBS: meeste Nederlanders draaien anti-virus op telefoon en pc
Politie weet meeste cybercrimedelicten niet op te lossen
Reacties (7)
21-09-2018, 11:20 door Anoniem
Flikker dat WordPress nou eens in de vuilnisbak, het blijkt keer op keer dat de meeste ellende veroorzaakt wordt door die CRM systemen. Lekker ff snel een website in elkaar flansen zonder kennis van zaken is wel lekker handig maar o zo dom.
21-09-2018, 13:28 door Anoniem
"de meeste ellende veroorzaakt wordt door die CRM systemen"

Nee, de meeste ellende wordt veroorzaakt door de zogenaamde hackers.
21-09-2018, 13:53 door Anoniem
CRM systeem nog wel volgens mij is het altijd nog een CMS systeem waar je updates voor dient te draaien :-)
21-09-2018, 13:59 door Anoniem
Door Anoniem: Flikker dat WordPress nou eens in de vuilnisbak, het blijkt keer op keer dat de meeste ellende veroorzaakt wordt door die CRM systemen. Lekker ff snel een website in elkaar flansen zonder kennis van zaken is wel lekker handig maar o zo dom.
Het is meestal de plugins welke zijn geschreven door anderen dan WP die dit mogenlijk maken. Een security module voor Apache, Nginx, etc beschermt meestal ook goed tegen aanvallen maar deze moet door hoster wel geinstalleerd zijn meeste hosters doen dit niet of je moet een dedi server hebben dan kan je het zelf doen. Om nu gelijk WP de schuld te geven is kort door de bocht en ja mensen willen een blog, forum, etc maar hebben geen kaas gegeten van html/php... maakt ze niet gelijk dom.
21-09-2018, 14:09 door Anoniem
Meer dan driekwart van de op PHP gebaseerde installaties zijn onveilig. Dat is een feit dat al een tijdje bekend moet worden verondersteld: https://developers.slashdot.org/story/14/12/31/002253/over-78-of-all-php-installs-are-insecure.

Wat te denken van een PHP gebaseerd CMS als WordPress in de handen van amateurs, die een beetje zitten te "knoeien" met PHP? Diegenen, die user enumeration op enabled hebben laten staan en ook directory listing op aan laten staan. Ze draaien niet de laatste versie voor de core software en de plug-ins. Ze draaien kwetsbare af te voeren jQuery bibliotheken vol errors en kwetsbaarheden *.

Word Press CMS is ook een content management software zonder toepassing van interne encryptie: https://paragonie.com/blog/2016/08/on-insecurity-popular-open-source-php-cms-platforms

Een http WordPress site "vliegt"meestal open via een Intellitamper scan en zit vol sources en sinks wanneer getest op DOM-XSS kwetsbaarheden en via een SQL scanner. Lees ook https://paragonie.com/blog/2017/12/2018-guide-building-secure-php-software Eigenlijk een contradictio in terminis - PHP en veiligheid per se, een eeuwigdurende tegenspraak in zichzelf.

Ik check al jaren websites via https://hackertarget.com/wordpress-security-scan/ en dat is niet om vrolijk van te worden. Linten met de scanner hier levert ook heel wat security issues op: https://webhint.io/ *

PHP gebruiken met diverse cheat sheets ernaast? Zelfde verhaal geldt in zekere mate ook voor Drupal en Joomla.

Als de meeste ellende veroorzaakt wordt door hackers (opm. anoniem van 13:28) en cybercriminelen ligt dat ook aan het gemak waarmee zo'n WordPress website via outdated plug-in code vaak kan worden gecompromitteerd.

Het is "en" "en". Het is de proliferatie van het Word Press CMS, het vaak brakke security niveau van de beveiliging bij web-developer, website admin en hosting party en de vaardigheid van hackers, die vaak volledig geautomatiseerd via een shodannetje etc. in kunnen breken voor hun injectie "pareltjes". Voor Magento gelt dit verhaal overigens ook. Ga maar naar magereport en de recente Willem de G. verhalen/rapporten hieromtrent.

Het verschil wordt vandaag alleen gemaakt door o.a. https en de betere cloudbeveiliging, dus nog meer security through obscurity. Een grote echte beveiligingsslag, die echt zoden aan de dijk zet, die zie ik nog vooralsnog niet gemaakt worden. "Helaas pindakaas"..

luntrus
21-09-2018, 14:27 door Anoniem
Richten deze frauduleuze helpdesken zich op Nederlandse nummers? Die heb ik ook al enkele keren gezien.
Zelfs met 0800-nummer. Vaak kom je via de OPTA/ACM snel te weet wie de eigenaar is van een telefoonnummer, waarna een abuse-mailtje snel werkt.
25-09-2018, 00:49 door Anoniem
Bij op php-gebaseerde Content Management Software, zoals Word Press, Magenta1 & 2 en Drupal zien we nogal eens wat developer files, die nog aanwezig zijn gebleven en die daarmee een gevaar opleveren, wanneer een hacker ze kan benaderen en compromitteren (Magento). Brute force aanvallen zijn ook niet ondenkbaar, ook met behulp van Jack the Ripper en shell code aanvallen (Drupal).

De meeste developers zijn zich niet bewust van welk aanvalsoppervlak ze nog hebben "open staan". Websites ontwikkelen met "security in mind" wordt nog te weinig gedaan en er wordt ook in opleidingen nog te weinig aandacht aan besteed. Met gebruik maken van andermans code neem je ook andermans zwakheden en fouten over.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Vacature

Technisch Security Specialist

De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!

Lees meer

Welke messaging-app gebruik jij?

33 reacties
Aantal stemmen: 1124
Vacature
Vacature

Engineer IT-operations

Nationaal Cyber Security Centrum

Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.

Lees meer
Vacature
Vacature

(Senior) Solutions-engineer

Nationaal Cyber Security Centrum

Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.

Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter