Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
ГлавнаяНовости→Как обнаружить поддельный сайт на взломанном WordPress | Блог Касперского

Как обнаружить поддельный сайт на взломанном WordPress | Блог Касперского

Три признака того, что сайт на WordPress взломали и разместили на нем фишинговую страницу.

Десятки и сотни тысяч сайтов в Интернете — подделки. Они выглядят как сайты популярных интернет-магазинов, банков, служб доставки, но созданы лишь с одной целью: выманить ваши пароли и финансовые данные. Жертв заманивают на такие сайты с помощью фишинговых писем, сообщений в мессенджерах и даже платной рекламы. Если вы кликнули на неприятную ссылку, еще не поздно уйти с мошеннического сайта без всяких потерь. Главное — вовремя заметить фальшивку.

Где размещают фишинговые веб-сайты

Иногда мошенники создают специальный новый сайт и регистрируют для него имя, похожее на имя оригинала (например, netflik.com вместо netflix.com). Про подделки имен у нас есть отдельная статья, которую тоже советуем изучить. Но такие специальные сайты дорого создавать и несложно целиком заблокировать, поэтому многие преступники идут другим путем. Они взламывают легитимные сайты любой тематики и создают на них собственные подразделы, где и публикуют фишинговые страницы с подделками. Очень часто жертвой такого взлома становятся сайты небольших компаний, потому что у них нет специалистов, которые могут постоянно обновлять сайт и следить за ним. Иногда взлом сайта не замечают годами, что очень удобно злодеям.

Одной из популярнейших систем для создания сайтов является WordPress, и поэтому число взломанных WordPress-сайтов исчисляется десятками тысяч. Правда, такой взломанный сайт несложно заметить и проверить самому.

Первый признак подделки: название сайта не соответствует его адресу

При переходе по ссылке из письма, сообщения в соцсети или из рекламы всегда имеет смысл потратить одну секунду и изучить адрес сайта, на который вы попали. В случае со взломанными сайтами несоответствие будет сразу заметно. Имя сервиса, которым прикидывается поддельный сайт, может присутствовать где-то в названиях папок, но доменное имя сайта будет совершенно другим, например www.medical-helpers24.dmn/wp-admin/js/js/Netflix/home/login.php. Но вы же знаете, что Netflix живет по адресу netflix.com, — тогда что ему делать на medical-helpers24?

Выглядит как Netflix, но из адресной строки понятно, что это фишинговый сайт

Выглядит как Netflix, но из адресной строки понятно, что это фишинговый сайт.

Выполнение этого совета требует чуть больше усилий на мобильных устройствах, поскольку во многих приложениях ссылки открываются так, что адреса сайта не видно или он виден только частично. В этом случае нужно нажать на адресную строку в браузере, чтобы увидеть полный адрес сайта.

Второй признак подделки: технические фрагменты адреса

Пока вы смотрите на полный адрес веб-страницы, обратите внимание на «хвост» адреса после имени домена. Он может быть очень длинным, но сосредоточиться нужно на его первых частях.

Взломанные подразделы сайта прячутся в глубине служебных папок WordPress, поэтому в адресе скорее всего будут такие элементы, как /wp-content/, /wp-admin/, /wp-includes/.

В нашем примере www.medical-helpers24.dmn/wp-admin/js/js/Netflix/home/login.php сразу после имени домена идет один из этих элементов, подтверждая наше подозрение, что сайт взломан.

Весьма вероятно, что заканчиваться адрес будет на .php. Вообще странички с расширением .php встречаются в Интернете часто, само по себе это не является признаком взлома. Но в сочетании с именами папок выше расширение .php служит дополнительным подтверждением.

Третий признак подделки: сайт имеет другую тему

Если имя сайта кажется незнакомым или подозрительным, дополнительно проверить его можно, зайдя на главную страницу. Достаточно убрать весь «хвост» из адреса, оставив только доменное имя. Как правило, при этом откроется страница настоящего владельца сайта, которая не связана с фишинговой страницей ни темой, ни оформлением. Часто она еще и на другом языке, как на примере ниже.

Франкоязычный фишинг на китайском сайте

Франкоязычный фишинг на китайском сайте

Ваши персональные данные на сайте-подделке

Бывает, что на фишинговом сайте заранее заполнены какие-то поля ввода, например уже подставлен ваш правильный e-mail или номер кредитной карты. Это означает, что злоумышленники где-то добыли базу украденных личных данных и пытаются ее обогатить дополнительной информацией, такой как пароли и номера CVV для кредитных карт. Чтобы провернуть подобный трюк, на сайте публикуют таблицу с известными данными жертв рассылки, и ее зачастую можно свободно скачать с сайта. Поэтому, увидев верный номер кредитной карты на фальшивом сайте, перевыпустите эту карту, а для других личных данных продумайте дополнительные меры защиты. Например, если e-mail поучаствовал в утечках, защитите вход в почту более сложным паролем и обязательно включите двухфакторную аутентификацию.

Как защититься от фишинга

  • Будьте внимательны. Чтобы советы выше пригодились, нужно не забывать проверять все ссылки, на которые вы решили кликнуть.
  • Проверяйте ссылки до того, как на них нажать, — некоторые атаки не требуют от жертвы никаких действий, кроме перехода на зараженный сайт. На компьютере можно навести на ссылку курсор, чтобы увидеть адрес, куда приведет ссылка. На телефоне можно нажать и подержать ссылку пальцем — адрес будет виден во всплывающем меню.
  • По важным адресам (ваш банк, ваш сервер e-mail и так далее) лучше заходить, открывая адрес из закладок или набирая его вручную, а не пользуясь ссылками из писем.
  • Используйте защиту на всех компьютерах и телефонах. Фишинг настигнет вас на любом устройстве, поэтому используйте Kaspersky Premium, оберегающий все ваши девайсы, с активированными функциями защиты почты, антифишинга и веб-антивируса.

Источник: Лаборатория Касперского

23.08.2023