Los autores de las páginas de phishing buscan crearlas con el mínimo esfuerzo y quieren que, al mismo tiempo, les reporten el mayor lucro posible. Por lo tanto, están deseosos de utilizar diversas herramientas y técnicas para impedir que las detecten y así ahorrarse tiempo y esfuerzo. En particular, los estafadores usan phish-kits o bots de Telegram para automatizar el phishing. También es habitual que los atacantes, en lugar de registrar sus propios dominios, hackeen sitios web y publiquen contenido malicioso en ellos. Estafadores de diversos calibres, phishers incluidos, usan esta técnica. Tras obtener acceso al sitio, los atacantes no solo pueden ocultar en él una página de phishing, sino también apoderarse de todos los datos del servidor y perturbar por completo el funcionamiento del recurso.
Cuáles son los sitios que más se hackean
Es bastante habitual que los sitios web abandonados caigan en manos de ciberdelincuentes. En primer lugar, nadie se ocupa de ellos y nadie parcha las vulnerabilidades de software que tienen, lo que significa que pueden ser hackeados con exploits conocidos. En segundo lugar, si el sitio está abandonado, las páginas de phishing que contiene pueden estar activas durante mucho tiempo, porque nadie supervisa lo que se publica en el sitio, y eso es justo lo que buscan los ciberestafadores.
Sin embargo, los atacantes también pueden atacar sitios que están en funcionamiento. En particular, los recursos web pequeños con poco tráfico son los más expuestos al hackeo informático. Puede que sus propietarios no dispongan del presupuesto necesario para contratar a un especialista en seguridad informática, o al menos a un especialista en TI, o bien es posible que no comprendan cómo configurar la seguridad, o que simplemente confíen en que un sitio web pequeño no les interesa a los ciberdelincuentes. Sin embargo, si hablamos del hackeo con fines de phishing, no importa tanto la popularidad del sitio, sino la posibilidad de hackearlo, porque lo más probable es que los atacantes distribuyan enlaces a páginas fraudulentas por correo y mensajería. Por eso, incluso un sitio web pequeño atrae a los estafadores.
Según W3Techs, el 43,1% de los sitios de Internet utilizan el sistema de gestión de contenidos WordPress. Debido a la popularidad de esta plataforma, existen muchos complementos que amplían su funcionalidad. Tanto en los complementos como en el propio WordPress se descubren periódicamente diversas vulnerabilidades que son aprovechadas por los atacantes. A continuación en este artículo, hablaremos sobre el phishing de sitios web en WordPress hackeados.
Hackeo de sitios que utilizan WordPress
Lo más común es que los phishers usen vulnerabilidades para hackear los sitios en WordPress. Una vez aplicado el exploit, los atacantes descargan una shell web WSO en el servidor y la utilizan para acceder al panel de control del sitio, saltándose la autenticación. De hecho, el panel de control queda abierto a todo el mundo, y cualquiera puede modificar el sitio como le venga en gana. En mayo de 2023, nuestra tecnología detectó más de 350 dominios únicos que tenían acceso abierto al panel de control del sitio web. Dicho esto, vale la pena señalar que el panel administrativo de los sitios puede no estar disponible para todo el mundo todo el tiempo, por lo que es probable que en realidad el número de estos sitios sea mayor.
Los atacantes también pueden hackear la cuenta del administrador de un sitio, al descifrar una contraseña débil o utilizar credenciales filtradas. En este caso, no necesitan software adicional para acceder al panel de control. Basta con iniciar sesión en una cuenta afectada para publicar páginas de phishing.
A veces, los atacantes preservan las funciones básicas de un sitio web, pero le agregan phishing. El usuario, al acceder a un recurso de este tipo, no puede saber que está hackeado: todas las secciones del sitio están donde deben y muestran sólo la información que deben. Los estafadores ocultan contenidos maliciosos en nuevos directorios a los que no se puede acceder desde el menú principal del sitio.
Pero lo más frecuente es que los botones de la página de inicio que llevan a otras secciones no funcionen en un sitio afectado, ya que los atacantes borran los directorios originales y los sustituyen por otros nuevos, que contienen phishing.
Si un usuario introduce sus datos en una página de phishing (según el tipo de phishing, puede tratarse del nombre de usuario y la contraseña de una cuenta en un determinado servicio, los datos de una tarjeta bancaria, incluido el CVV u otra información personal), estos se guardan en el panel de control del sitio. Si se instala un web shell en el sitio y cualquiera puede acceder al contenido, los datos de la víctima quedan expuestos a todo el mundo.
Los datos robados pueden venderse en la darknet o utilizarse de forma independiente, por ejemplo, para retirar dinero de la cuenta de la víctima. Además, los phishers pueden usar la información recopilada en sus nuevas estratagemas para que parezcan más convincentes.
Señales de un sitio WordPress hackeado
Hay algunos signos que evidencian que un sitio ha sido hackeado y la página que vemos es fraudulenta.
- La presencia de carpetas como /wp-Config/, /wp-content/, /wp-admin/, /wp-includes/ y similares en la URL de la página y una página en forma de archivo PHP en el directorio de destino. Cabe señalar que las páginas web con la extensión PHP pueden encontrarse en sitios legítimos, pero cuando se combinan con los nombres de directorio mencionados, es muy probable que indiquen la suplantación de identidad.
- El contenido de la página de inicio no tiene nada que ver con la información de la página de phishing. A continuación, se muestra un ejemplo de un sitio web de contenido informático en chino que en uno de sus directorios contiene un ataque de phishing dirigido a usuarios de un banco francés.
- El nombre correcto o alterado del servicio objetivo del phishing está presente en el nombre de uno de los directorios de la dirección URL, aunque no tenga nada que ver con el nombre del sitio.
Estadísticas sobre sitios WordPress hackeados
Hemos incorporado los síntomas típicos de los sitios afectados a nuestras tecnologías de detección de amenazas web para detectar y bloquear el nuevo phishing. En esta sección, proporcionamos estadísticas sobre los sitios detectados gracias a esta funcionalidad.
Entre el 15 de mayo y el 31 de julio de 2023, pudimos detectar 22400 sitios únicos de WordPress que fueron hackeados para crear páginas de phishing. Esto incluye tanto los sitios comprometidos en los que el panel de administración era accesible en el momento de la detección, como los sitios cuyo panel no era accesible a personas ajenas en el momento de la detección.
Cantidad de sitios web WordPress hackeados detectados, del 15 de mayo al 31 de julio de 2023 (descargar)
Durante el mismo periodo, los usuarios hicieron 200 213 intentos de navegar a páginas falsas alojadas en sitios hackeados.
Número de detecciones únicas de intentos de visitar páginas de phishing en sitios WordPress hackeados, del 15 de mayo al 31 de julio de 2023 (descargar)
La lista de servicios y organizaciones que con mayor frecuencia son objeto de phishing en sitios hackeados incluye el servicio de streaming Netflix, algunos bancos europeos y varios servicios de entrega populares.
Conclusiones
Junto con otras técnicas de phishing, los ciberdelincuentes experimentados recurren al hackeo de sitios web legítimos. Les interesan tanto los sitios abandonados como los activos. En particular, los atacantes hackean sitios pequeños cuyos propietarios, por regla general, tardan mucho en percatarse de que hay intrusos en su recurso.
Los sitios creados con WordPress suelen tener vulnerabilidades que permiten a los delincuentes acceder al panel de control mediante un script especial para publicar contenido malicioso. Además, los atacantes pueden obtener credenciales de la cuenta del administrador del sitio o utilizar contraseñas robadas. Los administradores de sitios web deben utilizar contraseñas únicas y seguras y autenticación multifactor para proteger sus cuentas frente a los piratas informáticos, así como actualizar periódicamente el software del servidor a la última versión y desactivar los complementos que no utilicen.
Aunque los atacantes intentan crear falsificaciones casi perfectas de los sitios web de las compañías que les interesan, es posible reconocer el phishing en un sitio afectado. En particular, hay que prestar atención a estos indicios:
- hay nombres de directorios estándar de WordPress en la URL;
- se menciona la marca de la compañía objetivo en el nombre de uno de los directorios;
- el tema de la página: el contenido del phishing no suele tener nada que ver con el contenido del sitio.
Uso de sitios hackeados para hacer phishing
Glenys
Es muy buena pagina