Gebruiker:Sranang/Kladblok
Braziliaanse overheidssite gebruikt voor phishingaanvallen[bewerken | brontekst bewerken]
Aanvallers zijn drie keer in korte tijd erin geslaagd een website van de Braziliaanse overheid over te nemen en te gebruiken voor het hosten van phishingsites(Phishing (naar analogie van phreaking, is het afgeleid van fishing: "vissen", "hengelen") is een vorm van internetfraude) en malware. Dat laat internetbedrijf Netcraft weten. Bij de eerste aanval werd er een phishingsite voor Wells Fargo gehost.
De phishingpagina werd uiteindelijk verwijderd, maar aanvallers wisten de website vorige week weer over te nemen. Dit keer werd er een PayPal-phishingsite geplaatst. De pagina probeerde bezoekers echter ook via een drive-by download met malware te infecteren. Op deze manier zouden slachtoffers hun inloggegevens voor PayPal kunnen verliezen en met een besmette computer eindigen. Wederom werd de phishingpagina verwijderd en weer wisten aanvallers toegang tot de overheidssite te krijgen. Nu werd er een phishingpagina voor het stelen van webmailaccountgegevens gebruikt. Netcraft stelt dat de website waarschijnlijk een kwetsbaarheid bevat waardoor de aanvallers steeds de controle weten te krijgen. Zo wordt er een onveilige WordPress-versie gebruikt, maar kan het probleem ook in de "shared hostingomgeving" liggen. De website wordt vanaf hetzelfde IP-adres aangeboden als meer dan 70 andere niet-overheidssites. Een kwetsbaarheid in één van deze sites zou kunnen worden gebruikt om de overheidssite aan te vallen.
De impact van de aanval
Impact van de hack op de Braziliaanse overheidssite is dat deze site gebruikt wordt om phishing aanvallen uit te voeren. Er werd een Paypal phishing site geplaats. Hiermee kan accounts van Paypal gebruikers worden onderschept. De hackers kunnen met de Paypal account van de benadeelde gebruiken voor geld transacties. Behalve Paypal inloggegevens wordt de computer van de benadeelde geïnfecteerd door een Malware. Wanneer zo een computer geïnfecteerd raakt kan het dan niet optimaal functioneren. Daarnaast is er ook een phishing pagina gebruikt voor webmailaccountsgegevens. Met deze gegevens kunnen de hackers misbruikt maken van de email account.
Het verloop van de aanval
Aanvallers hebben in korte tijd 3 keer de website van de Braziliaanse overheid overgenomen en deze gebruikt voor het hosten van Paypal phishingsites en malware injection. Hierna werd phishing sites voor het stelen van webmailaccountgegevens.
Uitleg gebruikte technieken in de aanval
De technieken die zijn gebruikt bij deze hack zijn:
- Phishing.
Phishing is een manier van hacken waarbij er gericht wordt naar gegevens van een slachtoffer. Er wordt bijvoorbeeld een valse website van een bank gehost waar slachtoffers kunnen inloggen met bank gegevens als creditcard.
- Vermoedelijk SQL injection
Aangezien er een vulnerability is ontdekt is het mogelijk dat er gebruikt is gemaakt van SQL injection in de oude versie van Wordpress. Middels SQL-injection kunnen usernames en password die in een website voorkomen achterhaald worden. Wanneer de admin credentials onderschept wordt kan de site helemaal overgenomen worden.
- Obtaining access
Obtaining access is een hack procedure. Wanneer de website eenmaal gehackt is hebben hackers ervoor gezorgd dat ze weer terug kunnen komen. Dit verklaart de rede waarom de website tot 3 keer is overgenomen door de hackers.
Uitleg van de geëxploiteerde vulnerability
Onveilige Wordpress versies heeft het risico dat hackers makkelijk toegang kunnen krijgen tot de website. Dit komt doordat:
1. De Wordpress versie verouderd is en niet meer wordt geupdate.
2. Het gebruik van makkelijk (voorspelbare) wachtwoorden of wachtwoorden zonder hoofdletters en tekens. Zulke wacht woorden kunnen makkelijk d.m.v. software gekraakt worden.
3. Ook door het gebruik van standaard “admin” als username kan de website worden overgenomen.
4. Wordpress heeft in de database een standaard prefix en dat is “wp”. Hacker weten dit ook en kunnen hiermee makkelijk in de database binnendringen.
5. Ook plugins en themes moeten tijdig geupdate worden. Indien de ontwikkelaar van een plug in de betreffende plug in niet meer update kan dit een risico vormen voor de website.
Dit zijn maatregelen die genomen kunnen worden door de website beheerder. Maar hackers kunnen ook de website binnendringen via het hostingsbedrijf. Dit heeft de website beheerder niet in de hand.
Onbetrouwbare webhostingsbedrijven kunnen ook een gevaar vormen. Het kiezen van een goede webhostingsbedrijf is daarom heel belangrijk. Er moet eerst geinformeerd worden bij het hostingsbedrijf welke maatregelen ze nemen om voor te komen dat de website wordt gehackt. Hoe vaak wordt de website gescand? Het liefst moet de website 1x24 u worden gescand op eventuele lekken.
Andere zaken die ook kwetsbaar zijn voor de website zijn:
Worden de laatste versies van PHP en MySQL ondersteund? Is de server geoptimaliseerd voor WordPress-websites? Maakt de hosting-provider gebruik van een firewall? Hoe pro-actief is de hostingpartij in het voorkomen en oplossen van security issues? Maakt de hostingpartij automatisch en regelmatig backups van de WordPress-website?
Ook mogelijke oorzaak door het gebruik van shared Hosting domein
Shared hosting wil zeggen dat je een hosting pakket afneemt waarbij je de server deelt met andere gebruikers. De volledige capaciteit van de server wordt over meerdere accounts verspreid. Hoeveel ruimte je huurt op een server is afhankelijk van het hosting pakket dat je hebt gekozen.
Het grootste voordeel van shared hosting is dat de kosten relatief laag zijn. Het nadeel van shared hosting is dat de prestaties van je website afhankelijk zijn van de andere server gebruikers. Wanneer bijvoorbeeld een andere website op je server veel bezoekers heeft, kan de snelheid van je website omlaag gaan. Een ander nadeel is dat wanneer andere gedeelde websites kwaadaardige programma’s of scripts uitvoeren kan dit de webserver negatief beïnvloeden.
Page text.[1]