Hackers richten zich steeds meer op gedeelde webhostingservers voor gebruik bij massale phishing-aanvallen

Cybercriminelen hacken steeds vaker in gedeelde webhostingservers om de domeinen te gebruiken die in grote phishing-campagnes worden gehost volgens een rapport van de Anti-Phishing Working Group (APWG). <47> Zeven en zeventig procent van alle wereldwijd geregistreerde phishing-aanvallen tijdens de tweede helft van 2012 betrof dergelijke massale inbraken, zei APWG in de laatste editie van zijn Global Phishing Survey-rapport gepubliceerd donderdag.

In dit type aanval, zodra phishers een gedeelde webhostingserver binnenbreken, werken ze de configuratie bij zodat phishing-pagina's worden weergegeven van een bepaalde su bdirectory van elke website die op de server wordt gehost, zei APWG. Een enkele shared hosting server kan tientallen, honderden of zelfs duizenden websites tegelijk hosten, aldus de organisatie. (Zie ook "Google Chrome leidt het browserpakket op het voorkomen van phishing, studievondsten.")

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

APWG is een coalitie van meer dan 2000 organisaties die beveiligingsleveranciers omvatten, financiële instellingen, detailhandelaren, ISP's, telecommunicatiebedrijven, defensie-aannemers, wetshandhavingsinstanties, handelsgroepen, overheidsinstanties en meer.

Het hacken van gedeelde webhostingservers en het kapen van hun domeinen voor phishingdoeleinden is geen nieuwe techniek, maar dit is type kwaadwillige activiteit bereikte een piek in augustus 2012, toen APWG meer dan 14.000 phishing-aanvallen detecteerde die op 61 servers zaten. "De niveaus liepen eind 2012 terug, maar bleven nog steeds verontrustend hoog", zei APWG.

In de tweede helft van 2012 waren er wereldwijd wereldwijd minstens 123 486 unieke phishingaanvallen met 89.748 unieke domeinen namen, APWG gezegd. Dit was een aanzienlijke toename ten opzichte van de 93.462 phishingaanvallen en 64.204 bijbehorende domeinen die de organisatie tijdens de eerste helft van 2012 waarnam.

"Van de 89.748 phishingdomeinen hebben we 5835 domeinnamen geïdentificeerd waarvan we denken dat ze kwaadwillig zijn geregistreerd door phishers, "APWG zei. "De andere 83.913 domeinen werden bijna allemaal gehackt of gehackt op kwetsbare webhosting."

Om op dergelijke servers in te breken, exploiteren aanvallers kwetsbaarheden in webservicebeheerspanelen zoals cPanel of Plesk en populaire webtoepassingen zoals WordPress of Joomla. "Deze aanvallen wijzen op de kwetsbaarheid van hostingproviders en -software, maken gebruik van zwak wachtwoordbeheer en bieden veel reden tot bezorgdheid", aldus de organisatie.

Cybercriminelen maken gebruik van shared hosting-omgevingen om hun bronnen te gebruiken bij verschillende soorten aanvallen, niet alleen phishing, zei APWG. Sinds eind 2012 heeft een groep hackers een compromis gesloten met webservers om DDoS-aanvallen (distributed denial-of-service) tegen Amerikaanse financiële instellingen te lanceren.
In één massacampagne genaamd Darkleech brachten aanvallers duizenden Apache in gevaar Webservers en geïnstalleerde SSH-backdoors op hen. Het is niet duidelijk hoe de Darkleech-aanvallers in de eerste plaats inbreken op deze servers, maar kwetsbaarheden in Plesk, cPanel, Webmin of WordPress zijn voorgesteld als mogelijke toegangspunten.