Los actores de amenazas comenzaron a utilizar sitios web comprometidos con fines de phishing con mucha más frecuencia. Estadísticas tan preocupantes aparecieron en varias investigaciones recientes.. Este no es un enfoque completamente nuevo, aunque puede ser particularmente eficaz para fines fraudulentos.
Los piratas informáticos utilizan sitios mal protegidos en estafas de phishing
Los ciberdelincuentes a menudo apuntar a sitios web abandonados de WordPress con mantenimiento deficiente y parches de seguridad, hacer que los sitios incluso más pequeños sean objetivos atractivos para páginas de phishing duraderas.
Los actores maliciosos aún pueden atacar sitios web mantenidos activamente, aunque se mantengan actualizados. Los sitios web con poco tráfico y audiencias más pequeñas también son vulnerable a intentos de piratería. Algunos propietarios de sitios web pueden necesitar más recursos financieros para invertir en medidas sólidas de seguridad de la información o contratar profesionales de seguridad dedicados.. También podrían tener conocimientos limitados sobre configuraciones de seguridad., o podrían asumir erróneamente que su pequeño sitio web no atraería a los piratas informáticos.’ atención. Sin embargo, para phishers, El potencial para explotar un sitio web es más importante que su popularidad.. Esto se debe a que pueden utilizar sitios comprometidos para distribute links to scam pages a través de correos electrónicos o plataformas de mensajería instantánea, independientemente del tamaño. Como consecuencia, Incluso los sitios web más pequeños presentan una oportunidad atractiva para los estafadores..
Según los investigadores, la mayoría de los sitios web en Internet funcionan con WordPress sistema de gestión de contenidos. Esta plataforma cuenta con una amplia gama de complementos de terceros destinados a mejorar su funcionalidad.. Desgraciadamente, Con frecuencia se descubre que tanto los complementos como WordPress tienen nuevas vulnerabilidades que los piratas informáticos pueden explotar..
Sitios web basados en WordPress al alcance
Los phishers explotan agujeros de seguridad para hackear WordPress sitios web. Después de un intento exitoso de explotación, suben un shell web de WSO, lo que les permite omitir el paso de autenticación y obtener acceso al panel de control del sitio web. Esto les da control total sobre el sitio web..
Sin embargo, la mayoría de los sitios web comprometidos muestran enlaces rotos que conducen a varias secciones de su página de inicio. Esto surge porque Los piratas informáticos suelen eliminar los directorios originales. y sustituirlos por materiales de phishing. Cuando los usuarios ingresan datos, como credenciales de sitios web o incluso información confidencial como números CVV de tarjetas bancarias, dependiendo de la estafa específica, Estos datos se almacenan en el panel de control de la página engañosa.. En los casos en que el sitio web esté equipado con un shell web y su contenido sea accesible para cualquier persona, el Los datos de la víctima se vuelven fácilmente visibles para todos..
Señales de un sitio de WordPress pirateado
Varios signos bastante obvios sugieren que estás viendo una página de phishing alojada en un sitio web comprometido..
- Las URL de estas páginas abarcan carpetas como
/wp-Config/, /wp-content/, /wp-admin/, /wp-includes/
, o equivalentes, y dentro de estos directorios existe un archivo PHP. Aunque las páginas web con el.php
La extensión puede ser componentes legítimos de sitios web., su presencia junto con los nombres de directorio antes mencionados indica inequívocamente un esfuerzo de phishing. - El contenido que se muestra en la página de inicio parece desconectado de la página de phishing.
- La URL incluye la información precisa del servicio. (o alterado) nombre que el Los estafadores pretenden imitar. Sin embargo, este nombre no está relacionado con el nombre real del sitio web.
Cómo reconocer el phishing en sitios pirateados
A pesar de los piratas informáticos’ esfuerzos diligentes para fabricar réplicas convincentes de sitios web populares que frecuentan sus usuarios objetivo, hay signos reveladores de phishing en un sitio pirateado. Es particularmente importante estar atento a los siguientes indicadores:
- La presencia de nombres predeterminados de directorios de WordPress en la URL.
- Inclusión del nombre de la marca imitada dentro de uno de los nombres del directorio..
- Contenido de la página que parece no estar relacionado con el tema general del sitio web..
Cómo protegerse contra ataques de phishing?
La mayoría de los casos de phishing se llevan a cabo principalmente gracias a la falta de atención de la víctima.. Por eso, puedes suponer una solución fácil – estar atento en cada momento cuestionable. Puedes encontrar muchas cosas falsificadas., y con las herramientas especiales que están disponibles hoy en día, esta forma de fraude es muy fácil de realizar.
- Utilice la autenticación de dos factores. Eso no dejará que nadie excepto el que tenga tu teléfono móvil (con un poco de suerte, tú mismo) Ingrese a su cuenta. Sin embargo, Es posible que su teléfono tenga otro procedimiento de autenticación para desbloquearlo., lo que haría el autenticación en su cuenta multifactor, lo cual es aún mejor para afrontar las consecuencias de un ataque de phishing exitoso.
- ¿Debería ser víctima de un ataque de phishing?, mejor ten todo tu valioso datos respaldados en un disco duro o almacenamiento en la nube. Phishing attacks puede tener varias consecuencias, pero la protección de datos es la contramedida más fácil de mantener.
- Protegiendo su información personal es crucial para mantener su privacidad y seguridad. Piénselo dos veces antes de compartir información personal en conversaciones casuales, tanto en línea como fuera de línea. Evite publicar detalles confidenciales como su dirección completa, número de teléfono, e información financiera.
- Utilice un filtro de spam. Con filtros de spam y funciones antispam., Es posible to stop receiving unwanted emails. Opte por listas de texto que le permitan darse de baja de mensajes futuros. Esto ayudará a minimizar el daño del phishing..
- El mejor método para contrarrestar cualquier forma de phishing en la computadora es el software antimalware.. Por supuesto, es importante observar que no todas las herramientas de seguridad se adaptarán a sus necesidades – Los programas con función de protección en línea garantizan la mejor protección.. GridinSoft Anti-Malware puede ofrecerle dicha función. Además, También es capaz de deshacerse del virus que ayuda a los estafadores a engañarte..