• Passa alla navigazione primaria
  • Passa al contenuto principale
  • Passa al piè di pagina
Fedegrafia, marketing digitale

Creazione siti web Pordenone e Udine

Consulenza Seo e Web Marketing

  • Home
  • Servizi
    • Siti internet
      • Realizzazione siti web
      • Consulenza seo
      • Sicurezza siti web
      • Newsletter
      • Gestione sito web
      • Assistenza siti – email
      • Grafica Facebook
    • Grafica e Stampa
      • Prodotti di stampa
      • Offerta biglietti
    • Fotografia
      • Stampe fotografiche
      • Servizi fotografici
    • Corsi e lezioni
    • Video e Droni
  • Lavori
  • Chi sono
  • Contatti
    • Prenota appuntamento
  • Preventivi
  • News

Campagna Phishing: aggiornamento database WordPress

Recentemente si sono verificate notifiche di e-mail di phishing indirizzate a utenti WordPress. Il contenuto informa i proprietari del sito che il loro database richiede un aggiornamento

5 Settembre 2018 a cura di Federico Benvenuto Lascia un commento

Campagna Phishing: aggiornamento database WordPress

Traduzione autorizzata da Sucuri che detiene il copyright dell’articolo. Leggi l’articolo originale (in Inglese)

Contattaci

chiama 339 848 3250

Recentemente si sono verificate notifiche di e-mail di phishing indirizzate a utenti WordPress. Il contenuto informa i proprietari del sito che il loro database richiede un aggiornamento e assomiglia a questo messaggio:

messaggio phishing aggiornamento-database wordpress

L’aspetto dell’email è simile a quello di un messaggio di aggiornamento legittimo di WordPress, tuttavia il contenuto include errori di battitura e utilizza uno stile di messaggistica meno recente. Un altro elemento sospetto nel contenuto è la scadenza temporale. WordPress non definirebbe le scadenze senza una spiegazione valida e nemmeno i fornitori di hosting (se si riteneva che l’e-mail provenisse da loro). L’uso di timestamp in un formato europeo (25/08/2018) può essere un altro segno sospetto, per coloro che risiedono negli Stati Uniti.

Il piè di pagina delle e-mail riproduce quello utilizzato da Automattic (la società madre di WordPress.com, Jetpack, WooCommerce), ma il collegamento rimanda anche a una pagina di phishing su un diverso sito Web compromesso (che si trova di nuovo nella sottodirectory / so / ).

footer messaggio aggiornamento phishing

Falso aggiornamento

Se fai clic sul pulsante “Aggiorna“, viene visualizzata una pagina di accesso di WordPress falsa pronta per raccogliere le tue credenziali. Quella pagina è stata creata su un sito Web compromesso ma legittimo. In un campione, si trovava nella sottodirectory / lop / e in un altro caso era nella sottodirectory / so /.

Dopo aver inserito le tue credenziali e aver fatto clic sul pulsante “Accedi“, verrà visualizzata la seguente schermata che richiede l’indirizzo e il nome utente del tuo sito. Questo è sospetto perché non ha senso, un utente avrà già inserito le proprie credenziali nel passaggio precedente. Inoltre, non è del tutto chiaro se desiderano reinserire le credenziali di WordPress o se cercano il nome utente del database.

Facendo clic sul pulsante “Aggiorna database WordPress” si completa il passaggio finale dell’attacco e si inviano le credenziali e l’indirizzo del sito web agli aggressori.

Pagina di aggiornamento del phishing del database

Questo spiega come i gestori del malware stanno ottenendo gli indirizzi del sito associandoli con le credenziali rubate.

Intestazioni

Le intestazioni delle e-mail di phishing hanno mostrato che provenivano da un sito compromesso sul server 47.49.12.164 (webserver2 . ncswi . com). Il nome dello script mailer malevolo è piuttosto generico e può anche essere trovato nelle intestazioni: qui puoi trovare alcuni suggerimenti sull’analisi dell’intestazione:

X-PHP-Originating-Script: 48: mailer-1.php

Troviamo diversi script di mailer con questo nome su siti compromessi.

L’hacking di un sito per inviare spam e-mail dal suo server è abbastanza comune. I provider di hosting di solito sospendono tali siti compromessi perché non vogliono che gli IP del loro server siano inseriti in blacklist anti-spam.

Ciò evidenzia l’importanza di identificare e ripulire un sito compromesso prima che venga sospeso dal tuo host.

Precauzioni

Anche se il software del sito è aggiornato e completamente rattoppato, gli hacker potrebbero essere ancora in grado di introdursi se gli dai le tue credenziali. Gli attacchi di phishing contro CMS comuni spesso cercano di ingannare i webmaster nell’aprire una pagina web che assomigli a una pagina di accesso standard e digitare le loro credenziali lì senza verificare l’indirizzo della pagina.

Nel caso precedente, gli aggressori hanno utilizzato un mailer su un sito Web compromesso come meccanismo di consegna per inviare la loro campagna di e-mail di phishing e raccogliere le credenziali di altri utenti di WordPress.

Una volta che un utente malintenzionato ottiene le credenziali di un sito Web attraverso questa campagna, è quindi in grado di caricare backdoor, cambiare il contenuto del sito o utilizzare il sito Web per offrire malware. Ciò può portare all’inserimento in black list e influire in modo significativo sul traffico e sulla reputazione del tuo sito.

Le e-mail di phishing sono facili da rilevare se usi il buon senso e segui alcune semplici regole:

  • Non fidarti mai di un’email che ti chiede di eseguire un’azione che non hai richiesto, specialmente se non hai ricevuto questo tipo di email prima
  • Verifica che il mittente corrisponda al contenuto nell’email
  • Controlla il contenuto per errori di battitura o scarsa formattazione
  • Ispeziona gli URL per nomi di dominio legittimi

Mitigazione per i siti che distribuiscono spam

I mailer sono una categoria di script che i malintenzionati installano per distribuire email di spam e campagne di phishing. Questi script abusano delle risorse di un server per inviare e-mail in batch di grandi dimensioni, possono variare nei livelli di sofisticazione e si trovano su circa il 19% di tutti i siti Web compromessi.

Gli script di mailing semplici possono essere identificati se si esegue la scansione dei file per le funzioni mail (). Variazioni più complesse possono utilizzare funzioni e occultamenti alternativi, quindi è sempre consigliabile eseguire una scansione completa anti malware se si sospetta che il proprio sito stia inviando email di spam.

Il monitoraggio dell’integrità aiuterà anche a trovare qualsiasi file nuovo o modificato. Anche la scansione di backdoor è una buona idea, poiché questi sono comunemente installati per consentire di riottenere l’accesso al tuo sito. Puoi seguire la nostra guida con istruzioni dettagliate su come rimuovere malware e backdoor indesiderati dal tuo sito web.

Se ritieni che il tuo sito stia distribuendo spam indesiderati o e-mail di phishing e hai bisogno di una mano per ripulirlo, possiamo aiutarti a sbarazzarti di malware e ad rendere più sicuro il tuo sito web.

Sicurezza

Interazioni del lettore

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Lavoriamo insieme

Contattaci e affidaci il tuo progetto digitale.

Contattaci

Footer

Siti Internet, Consulenza SEO, Newsletter

Federico Benvenuto

Socio Collaboratore
Nuove Tecniche - Società cooperativa
Sede operativa:
Via Roveredo, 20 – 33170 Pordenone, FVG
@ Polo Tecnologico Alto Adriatico
Sede legale:
Viale Grigoletti, 72/e – 33170 Pordenone
Telefono: 339 848 3250
C.F./P.IVA: 01534330939 REA PN - 84323

ARGOMENTI

  • 8 cose da fare dopo aver ripulito il tuo sito dal malware
  • Dati obbligatori sito internet
  • WooCommerce Vulnerabilità critica – SQL Injection
  • Guida sicurezza siti Ecommerce
  • Aggiornamento WP 5.5.2
  • Vulnerabilità malware Yuzo Related Post: compromessi molti siti WordPress

CERCA

Tutte le immagini presentate in questo sito sono soggette a copyright e non possono essere usate senza una esplicita autorizzazione scritta del titolare dei dati.

Fedegrafia
Marketing digitale

Siti web WordPress e grafica

Via Costantini, 1 33079
Sesto al Reghena,
FVG

Telefono: 339 848 3250

Copyright © 2023 - Copyright Fedegrafia.com - Privacy - Informativa Cookies - dove siamo