Hoy vamos a analizar cómo un sitio web vulnerable puede ser utilizado a favor de un spammer y cómo la imagen del sitio puede verse seriamente afectada por la publicidad que el delincuente coloca en el mismo. Básicamente mostraremos cómo funcionan los negocios fraudulentos, pero no necesariamente ilegales según el país, como Canadian Pharmacy y otros socios de negocios igualmente repudiables.
En el artículo "Vigra.gob.ar" describo en profundidad las distintas vulnerabilidades que sufren los sitios gubernamentales y nos valdremos de un ejemplo de allí para comenzar este artículo (clic para agrandar).
Si bien la página web que visualiza el usuario originalmente no muestra nada sospechoso, al acceder al código fuente, se descubren cientos de enlaces a sitios con publicidad fraudulenta y estos enlaces serán indexados por los buscadores, sirviendo de puntapié para posicionar sitios web delictivos. Estas actividades se conocen como Spamdexing y Black Hat SEO y consisten en una serie de métodos, como los explicados a continuación, para manipular buscadores y por lo tanto al usuario que llega a los resultados del mismo.
Esto se logra a través del encadenamiento de sitios vulnerados, a los cuales un delincuente ha logrado acceder en forma ilegítima, siguiendo un procedimiento similar al siguiente:
Si se busca cualquiera de esos archivos, puede verse que existe una serie de sitios que los alojan, lo cual ya indica por sí mismo la efectividad de los delincuentes para encontrar sitios vulnerables y para alojar su contenido dañino.
También indica la gran cantidad de sitios vulnerables y de organizaciones (públicas y privadas) irresponsables que nunca se han planteado la necesidad de analizar su seguridad y tampoco les importa que sus activos, y el de sus clientes, pueda verse afectado. Para tener un contexto general basta leer la gran cantidad de sitios en los cuales hay fuga de información todos los días.
Al analizar los archivos PHP maliciosos mencionados se puede encontrar algunas de las alternativas mencionadas en el punto 3.
El primer caso corresponde a un sitio vulnerado, de una empresa que desconoce que las páginas dañinas se encuentran alojadas en sus servidores. Una de las páginas alojadas por los delincuentes en el sitio vulnerado es una farmacia en línea, que ofrece cientos de productos farmacéuticos.
Como puede verse en la imagen en este caso se utilizan dos servidores vulnerados (pueden ser más): el primero almacena las páginas estáticas (HTML) y dinámicas (PHP) y el segundo almacena las imágenes. Este modelo es altamente dinámico y le permite al delincuente una gran independencia para crear una mayor cantidad de sitios fraudulentos.
A continuación se puede ver el código fuente de los archivos PHP involucrados y cómo se manipula el contenido de los distintos sitios vulnerados:
La siguiente alternativa es almacenar archivos dinámicos que sólo redireccionan al usuario a un asociado de negocios del delincuente. A continuación se puede ver uno de esos archivos PHP:
En este caso lo que se posiciona en el buscador es está página con los redirectores a los sitios dañinos o fraudulentos de forma tal que, cuando el usuario ingrese a la página, será automáticamente dirigido al sitio dañino. Como puede verse cada redirección está asociado a un número que identifica a un asociado de negocio y cada uno de ellos ganará una cantidad de dinero asociada a la cantidad de visitas que envíe al sitio dañino.
En este caso el usuario puede ser engañado para comprar los productos ilegales ofrecidos y además, en algún momento el sitio real, que aloja el contenido, será penalizado por los buscadores, ocasionando pérdidas económicas y de imagen corporativa a la empresa vulnerada. A continuación puede verse el reporte de Google Safe Browsing respecto a un popular sitio argentino que propagaba archivos dañinos de la forma descripta.
Dependiendo de la criticidad del caso y de si la situación se ha repetido en el tiempo, los buscadores pueden bloquear el sitio web e incluso informar a los navegadores para que no muestren el contenido del mismo, como pasó con el diario Clarín.
La última alternativa es que la redirección anterior dirija al usuario a un sitio de descarga de malware y, principalmente rogue, es decir crear una página que simula un scaneo del sistema del usuario en busca de amenazas y que le informe que ha sido infectado.
En este caso cuando el usuario haga clic, se le ofrecerá la descarga de una "solución" que será un archivo ejecutable que, efectivamente ahora infectará al usuario. En este caso los asociados de negocio ganarán una cifra proporcional a la cantidad de usuarios infectados.
Las infecciones pueden tener como objetivo reclutar PCs víctimas como miembros de una botnet, que posteriormente también serán utilizadas por delincuentes. Normalmente los usuarios de esos sistemas no se dan cuenta de la situación y tampoco notan nada extraño.
Con respecto a las ganancias de cada delincuente involucrado, las mismas estarán relacionadas a la cantidad de visitas, ventas e infecciones o que logre cada página fraudulenta y por supuesto esto será directamente proporcional al grado de exposición de cada sitio en los buscadores. Si un delincuente logra modificar el contenido de un sitio popular, como un diario por ejemplo, seguramente tendrá mucho mayores ingresos que si logra el mismo objetivo en un sitio desconocido.
Como puede verse, la cantidad de alternativas para vulnerar un sitio web son muchas y todas ellas llevan a que detrás existe una serie de delincuentes que se benefician de dichas vulnerabilidades y perjudican a los dueños de los sitios afectados.
Fuente: http://blog.segu-info.com.ar
En el artículo "Vigra.gob.ar" describo en profundidad las distintas vulnerabilidades que sufren los sitios gubernamentales y nos valdremos de un ejemplo de allí para comenzar este artículo (clic para agrandar).
Si bien la página web que visualiza el usuario originalmente no muestra nada sospechoso, al acceder al código fuente, se descubren cientos de enlaces a sitios con publicidad fraudulenta y estos enlaces serán indexados por los buscadores, sirviendo de puntapié para posicionar sitios web delictivos. Estas actividades se conocen como Spamdexing y Black Hat SEO y consisten en una serie de métodos, como los explicados a continuación, para manipular buscadores y por lo tanto al usuario que llega a los resultados del mismo.
¿Cómo alguien agregó esos enlaces a las páginas web de un sitio?
El siguente diagrama muestra la relación que existe entre los delincuentes y el procedimineto que se sigue para lograr que un usuario llegue desde un simple buscador a una página fraudulenta:
Esto se logra a través del encadenamiento de sitios vulnerados, a los cuales un delincuente ha logrado acceder en forma ilegítima, siguiendo un procedimiento similar al siguiente:
- Inicialmente el delincuente registra dominios a su nombre (utiliza nombres falsos y tarjetas de crédito robadas) y adquiere hosting que son brindados por otros delincuentes (C2C - Criminal To Criminal Service) y son servicios a prueba de balas en distintos países que son paraísos digitales (en teoría "nadie" puede darlos de baja). Los nombres de dominios registrados no tienen importancia y generalmente son letras mezcladas en forma aleatoria. Como el delincuente sabe que estos servicios no estarán mucho tiempo disponibles (de 1 a 10 días), simplemente debe ocuparse de registrar miles de sitios y tener un stock siempre disponible.
- Luego, se encarga de encontrar sitios vulnerables, es decir que se pueda ingresar a ellos y modificar su contenido, ya sean archivos o bases de datos. Esta búsqueda se hace en forma automatizada y general, sin un objetivo establecido previamente. Como se verá posteriormente, en este caso cuanto más popular sea el sitio mejor serán los réditos económicos del delincuente.
- Se ingresa (sin autorización) a los sitios vulnerables, también en forma automática y masiva a través de bots programados para ese objetivo y en cada sitio se aloja distinto material que puede ser:
- nuevas páginas con contenido dañino (malware, páginas rogue, etc.)
- nuevas páginas con publicidad de productos fraudulentos
- nuevas páginas con redirectores a otros sitios del mismo delincuente o de sus asociados de negocio
- modificación de páginas del sitio con enlaces a las páginas anteriores (este es caso de la primera imagen)
- Una vez alojado el contenido, cada sitio vulnerado será una puerta de entrada a las páginas del delincuente ya que los buscadores indexarán el contenido legal del sitio y también el agregado por el delincuente, logrando que la página sea posicionada en los primeros lugares del buscador (Black Hat SEO) y, como consecuencia, tarde o temprano el sitio vulnerado será marcado por el buscador como dañino, perjudicando con mala reputación a su propietario. Por supuesto, esto último al delincuente no le importa porque ya logró su objetivo y, aunque sea por corto tiempo (pocas horas), pudo comercializar sus productos ilegales en forma gratuita, abusando de un tercero inocente y del buscador.
Si se busca cualquiera de esos archivos, puede verse que existe una serie de sitios que los alojan, lo cual ya indica por sí mismo la efectividad de los delincuentes para encontrar sitios vulnerables y para alojar su contenido dañino.
Al analizar los archivos PHP maliciosos mencionados se puede encontrar algunas de las alternativas mencionadas en el punto 3.
El primer caso corresponde a un sitio vulnerado, de una empresa que desconoce que las páginas dañinas se encuentran alojadas en sus servidores. Una de las páginas alojadas por los delincuentes en el sitio vulnerado es una farmacia en línea, que ofrece cientos de productos farmacéuticos.
A continuación se puede ver el código fuente de los archivos PHP involucrados y cómo se manipula el contenido de los distintos sitios vulnerados:
La siguiente alternativa es almacenar archivos dinámicos que sólo redireccionan al usuario a un asociado de negocios del delincuente. A continuación se puede ver uno de esos archivos PHP:
En este caso lo que se posiciona en el buscador es está página con los redirectores a los sitios dañinos o fraudulentos de forma tal que, cuando el usuario ingrese a la página, será automáticamente dirigido al sitio dañino. Como puede verse cada redirección está asociado a un número que identifica a un asociado de negocio y cada uno de ellos ganará una cantidad de dinero asociada a la cantidad de visitas que envíe al sitio dañino.
En este caso el usuario puede ser engañado para comprar los productos ilegales ofrecidos y además, en algún momento el sitio real, que aloja el contenido, será penalizado por los buscadores, ocasionando pérdidas económicas y de imagen corporativa a la empresa vulnerada. A continuación puede verse el reporte de Google Safe Browsing respecto a un popular sitio argentino que propagaba archivos dañinos de la forma descripta.
Dependiendo de la criticidad del caso y de si la situación se ha repetido en el tiempo, los buscadores pueden bloquear el sitio web e incluso informar a los navegadores para que no muestren el contenido del mismo, como pasó con el diario Clarín.
La última alternativa es que la redirección anterior dirija al usuario a un sitio de descarga de malware y, principalmente rogue, es decir crear una página que simula un scaneo del sistema del usuario en busca de amenazas y que le informe que ha sido infectado.
Las infecciones pueden tener como objetivo reclutar PCs víctimas como miembros de una botnet, que posteriormente también serán utilizadas por delincuentes. Normalmente los usuarios de esos sistemas no se dan cuenta de la situación y tampoco notan nada extraño.
Con respecto a las ganancias de cada delincuente involucrado, las mismas estarán relacionadas a la cantidad de visitas, ventas e infecciones o que logre cada página fraudulenta y por supuesto esto será directamente proporcional al grado de exposición de cada sitio en los buscadores. Si un delincuente logra modificar el contenido de un sitio popular, como un diario por ejemplo, seguramente tendrá mucho mayores ingresos que si logra el mismo objetivo en un sitio desconocido.
Como puede verse, la cantidad de alternativas para vulnerar un sitio web son muchas y todas ellas llevan a que detrás existe una serie de delincuentes que se benefician de dichas vulnerabilidades y perjudican a los dueños de los sitios afectados.
Fuente: http://blog.segu-info.com.ar
No hay comentarios.:
Publicar un comentario