image

Gehackte WordPress-sites gebruikt voor helpdeskfraude

vrijdag 21 september 2018, 11:05 door Redactie, 7 reacties

Aanvallers hebben de afgelopen dagen tal van WordPress-sites gehackt en gebruikt voor het plegen van helpdeskfraude. Daarvoor waarschuwen securitybedrijven Malwarebytes en Sucuri. Volgens Denis Sinegubko van Sucuri is er zelfs sprake van een "massale infectiegolf".

Het is echter onduidelijk hoe de aanvallers precies toegang tot de websites weten te krijgen. Jerome Segura van Malwarebytes stelt dat de getroffen WordPress-sites vaak verouderde plug-ins draaien, maar kan geen specifieke kwetsbaarheid noemen waar de aanvallers zich op richten. Securitybedrijf Wordfence meldt echter dat er bij deze aanvallen vaak verouderde versies van de Ultima Member-plug-in worden aangevallen. Zodra de aanvallers toegang tot een WordPress-site krijgen wordt er kwaadaardige code aan de database toegevoegd.

Deze code zorgt er onder andere voor dat bezoekers van de websites worden doorgestuurd naar malafide websites. De websites laten weten dat er een probleem met de computer is en het opgegeven telefoonnummer moet worden gebeld. Vervolgens wordt het slachtoffer onder druk gezet om te betalen voor het oplossen van de niet bestaande problemen of wordt er geld van de bankrekening gestolen.

De fraudewebsites maken ook gebruik van een probleem in Google Chrome waardoor het mogelijk is om de muiscursor te kapen. Dit wordt gedaan door code die de oorspronkelijke muiscursor in een transparante pixel verandert en vervolgens een afbeelding van een muiscursor ergens anders op de pagina weergeeft. De gebruiker denkt dat deze afbeelding de muiscursor is, terwijl die in werkelijkheid ergens anders op klikt. Hierdoor wordt het lastig om de pagina op de normale wijze te sluiten.

Volgens de PublicWWW-zoekmachine zijn inmiddels meer dan 1500 WordPress-sites getroffen, waaronder ook verschillende Nederlandse websites. Afsluitend laat Segura weten dat eigenaren van getroffen websites een grote schoonmaak moeten houden door besmette pagina's, databases en backdoors op te schonen. Ook zullen ze moeten achterhalen hoe de aanvallers de site konden hacken, wat vaak via verouderde WordPress-installaties of plug-ins gebeurt.

Image

Reacties (7)
21-09-2018, 11:20 door Anoniem
Flikker dat WordPress nou eens in de vuilnisbak, het blijkt keer op keer dat de meeste ellende veroorzaakt wordt door die CRM systemen. Lekker ff snel een website in elkaar flansen zonder kennis van zaken is wel lekker handig maar o zo dom.
21-09-2018, 13:28 door Anoniem
"de meeste ellende veroorzaakt wordt door die CRM systemen"

Nee, de meeste ellende wordt veroorzaakt door de zogenaamde hackers.
21-09-2018, 13:53 door Anoniem
CRM systeem nog wel volgens mij is het altijd nog een CMS systeem waar je updates voor dient te draaien :-)
21-09-2018, 13:59 door Anoniem
Door Anoniem: Flikker dat WordPress nou eens in de vuilnisbak, het blijkt keer op keer dat de meeste ellende veroorzaakt wordt door die CRM systemen. Lekker ff snel een website in elkaar flansen zonder kennis van zaken is wel lekker handig maar o zo dom.
Het is meestal de plugins welke zijn geschreven door anderen dan WP die dit mogenlijk maken. Een security module voor Apache, Nginx, etc beschermt meestal ook goed tegen aanvallen maar deze moet door hoster wel geinstalleerd zijn meeste hosters doen dit niet of je moet een dedi server hebben dan kan je het zelf doen. Om nu gelijk WP de schuld te geven is kort door de bocht en ja mensen willen een blog, forum, etc maar hebben geen kaas gegeten van html/php... maakt ze niet gelijk dom.
21-09-2018, 14:09 door Anoniem
Meer dan driekwart van de op PHP gebaseerde installaties zijn onveilig. Dat is een feit dat al een tijdje bekend moet worden verondersteld: https://developers.slashdot.org/story/14/12/31/002253/over-78-of-all-php-installs-are-insecure.

Wat te denken van een PHP gebaseerd CMS als WordPress in de handen van amateurs, die een beetje zitten te "knoeien" met PHP? Diegenen, die user enumeration op enabled hebben laten staan en ook directory listing op aan laten staan. Ze draaien niet de laatste versie voor de core software en de plug-ins. Ze draaien kwetsbare af te voeren jQuery bibliotheken vol errors en kwetsbaarheden *.

Word Press CMS is ook een content management software zonder toepassing van interne encryptie: https://paragonie.com/blog/2016/08/on-insecurity-popular-open-source-php-cms-platforms

Een http WordPress site "vliegt"meestal open via een Intellitamper scan en zit vol sources en sinks wanneer getest op DOM-XSS kwetsbaarheden en via een SQL scanner. Lees ook https://paragonie.com/blog/2017/12/2018-guide-building-secure-php-software Eigenlijk een contradictio in terminis - PHP en veiligheid per se, een eeuwigdurende tegenspraak in zichzelf.

Ik check al jaren websites via https://hackertarget.com/wordpress-security-scan/ en dat is niet om vrolijk van te worden. Linten met de scanner hier levert ook heel wat security issues op: https://webhint.io/ *

PHP gebruiken met diverse cheat sheets ernaast? Zelfde verhaal geldt in zekere mate ook voor Drupal en Joomla.

Als de meeste ellende veroorzaakt wordt door hackers (opm. anoniem van 13:28) en cybercriminelen ligt dat ook aan het gemak waarmee zo'n WordPress website via outdated plug-in code vaak kan worden gecompromitteerd.

Het is "en" "en". Het is de proliferatie van het Word Press CMS, het vaak brakke security niveau van de beveiliging bij web-developer, website admin en hosting party en de vaardigheid van hackers, die vaak volledig geautomatiseerd via een shodannetje etc. in kunnen breken voor hun injectie "pareltjes". Voor Magento gelt dit verhaal overigens ook. Ga maar naar magereport en de recente Willem de G. verhalen/rapporten hieromtrent.

Het verschil wordt vandaag alleen gemaakt door o.a. https en de betere cloudbeveiliging, dus nog meer security through obscurity. Een grote echte beveiligingsslag, die echt zoden aan de dijk zet, die zie ik nog vooralsnog niet gemaakt worden. "Helaas pindakaas"..

luntrus
21-09-2018, 14:27 door Anoniem
Richten deze frauduleuze helpdesken zich op Nederlandse nummers? Die heb ik ook al enkele keren gezien.
Zelfs met 0800-nummer. Vaak kom je via de OPTA/ACM snel te weet wie de eigenaar is van een telefoonnummer, waarna een abuse-mailtje snel werkt.
25-09-2018, 00:49 door Anoniem
Bij op php-gebaseerde Content Management Software, zoals Word Press, Magenta1 & 2 en Drupal zien we nogal eens wat developer files, die nog aanwezig zijn gebleven en die daarmee een gevaar opleveren, wanneer een hacker ze kan benaderen en compromitteren (Magento). Brute force aanvallen zijn ook niet ondenkbaar, ook met behulp van Jack the Ripper en shell code aanvallen (Drupal).

De meeste developers zijn zich niet bewust van welk aanvalsoppervlak ze nog hebben "open staan". Websites ontwikkelen met "security in mind" wordt nog te weinig gedaan en er wordt ook in opleidingen nog te weinig aandacht aan besteed. Met gebruik maken van andermans code neem je ook andermans zwakheden en fouten over.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.