2min Security

‘Gehackte WordPress-sites als doorgeefluik voor schimmige webwinkels’

‘Gehackte WordPress-sites als doorgeefluik voor schimmige webwinkels’

Slecht beveiligde WordPress-sites worden door hackers misbruikt als doorgeefluik naar schimmige webwinkels. Ook kunnen hackers de search engine ranking van deze getroffen websites aanpassen en gijzelen voor afpersing, zo stellen onderzoekers van content delivery- en securityspecialist Akamai in een onderzoek.

WordPress-sites die slecht zijn beveiligd zijn een makkelijk doelwit voor hackers om bezoekers naar schimmige webwinkels te leiden in plaats van de originele content te tonen. Dit ontdekt Akamai met behulp van een zogenoemde ‘honey pot’.

C&C servers

Volgens de onderzoekers krijgen hackers met brute-force-aanvallen toegang tot de admin accounts van de getroffen WordPress-sites. Vervolgens overschrijven zij via een met malware geïnfecteerde plug-in de code in de main index file van de getroffen website. Deze kwaadaardige code is versluierd en werkt als een proxy en redirect al het inkomende verkeer naar door de hackers beheerde command-and-control (C&C) server op afstand.

Schimmige webwinkels

Op deze server vindt vervolgens de kwaadaardige actie plaats. Bezoekers krijgen dan in plaats van de inhoud van de originele website schimmige webwinkels te zien. De hackers willen de bezoekers hiermee verleiden tot een aankoop en zo het geld en/of persoonlijke data afhandig maken. Volgens de onderzoeker is het op deze manier mogelijk grote hoeveelheden schimmige webwinkels aan te bieden. Via de honeypot kwamen zij alleen al uit op een aantal van 7.000.

wp-seo-store-scheme

Kapen van search engine rankings

Een andere manier waarop hackers geld met deze hackmethode proberen te verdienen, is het gijzelen van de zoekmachine-ranking van de getroffen website. Naast het redirecten van het webverkeer, zorgen de hackers er ook voor dat de search ranking van de getroffen WordPress-site wordt gecompromitteerd.

Zij generen XML-sitemaps die entries voor de schimmige webwinkels bevatten samen met de authentieke pagina’s van de websites. Deze gehackte sitemaps worden vervolgens door Google geïndexeerd en door de hackers verwijderd om ontdekking te voorkomen. Het kwaad is echter dan al geschied en Google zal de deze websites lager gaan plaatsen.

Hackers kunnen de beheerders van de getroffen websites vervolgens benaderen en aanbieden om tegen betaling deze slechte ranking ongedaan te maken. Een ransomware-aanval dus.

Reactie Akamai-onderzoekers

De nu aangetroffen hackmethoden baren de onderzoekers van Akamai veel zorgen omdat er talloze slecht beveiligde en dus makkelijk toegankelijke WordPress-sites in omloop zijn. Bovendien zijn de hack-aanvallen makkelijk uit te voeren. Zij verwachten daarom veel van dit soort aanvallen in de nabije toekomst.