標題：利用被攻擊的網站發起網絡釣魚詐騙

https://hacker.bz/t/entry/15936-%E6%A8%99%E9%A1%8C%EF%BC%9A%E5%88%A9%E7%94%A8%E8%A2%AB%E6%94%BB%E6%93%8A%E7%9A%84%E7%B6%B2%E7%AB%99%E7%99%BC%E8%B5%B7%E7%B6%B2%E7%B5%A1%E9%87%A3%E9%AD%9A%E8%A9%90%E9%A8%99/

Followers

發起網絡釣魚的攻擊者希望他們設計的虛假釣魚頁面盡可能花費最少的成本來產生盡可能多的收入，所以他們會傾向使用各種工具和技術來逃避檢測，以節省時間和成本，比如使用網絡釣魚工具包或Telegram木馬的自動化。另一種深受釣魚者歡迎的策略是攻擊網站並在其中註入惡意內容，而不是註冊新域名。除了在他們攻擊的網站中植入釣魚頁面外，攻擊者還可以竊取服務器上的所有數據，並完全攻擊網站的運行。

哪些網站最容易被攻擊者攻擊缺乏維護的網站經常會被攻擊者利用，缺乏維護和安全修復意味著它們很容易被已知的漏洞所攻擊。此外，在一個長期被忽視的網站上，網絡釣魚頁面可以停留很長一段時間，因為沒有人監控發布的內容，這正是詐騙者所尋找的。

但是，這並不意味著攻擊者不會攻擊經常維護的網站。那些訪問量很小的小型網站也會經常受到攻擊威脅。他們的所有者可能沒有能力在信息安全上花費足夠的資金或僱傭安全專業人員，他們可能不熟悉安全設置，或者他們可能相信他們的網站太小，攻擊者不會感興趣。然而，對於網絡釣魚者來說，網站是否可以被攻擊比其受歡迎程度更重要，因為詐騙頁面的鏈接很可能通過電子郵件或即時通訊平台發送。因此，即使是較小的網站也是被攻擊的目標。

根據W3Techs（一個網絡技術調查網站，提供關於互聯網不同技術的運用信息）的數據，互聯網上43.1%的網站是由WordPress內容管理系統提供支持的。有大量的第三方插件被設計用來擴展這個流行平台的功能。攻擊者經常會在插件和WordPress本身中發現新的漏洞。本文的其餘部分將處理由WordPress提供支持的攻擊者網站上的網絡釣魚頁面。

破解WordPress網站大多數時候，攻擊者通過利用安全漏洞攻擊WordPress網站。攻擊成功後，攻擊者會上傳一個WSOwebshell ，並使用它來訪問網站控制面板，從而繞過身份驗證。這將向所有人打開控制面板權限，允許任何人進行任何更改。在2023年5月，安全研究人員發現了超過350個可以開放訪問控制面板的獨特域名。也就是說，實際數量要比350高得多，因為一個受攻擊的控制面板可能不會一直被公眾訪問。

被攻擊網站的控制面板

還有一種情況是，攻擊者可能通過強制使用弱密碼或使用洩露的憑證來劫持網站管理員的帳戶。在這種情況下，他們不需要任何額外的軟件來訪問控制面板。他們所要做的就是登錄被攻擊的賬戶，然後開始發布虛假頁面。

有時，攻擊者在發佈網絡釣魚頁面時會保留網站的主要功能，這樣訪問者永遠不會意識到這個網站被攻擊客攻擊了，攻擊者則將他們的惡意內容隱藏在無法從主網站菜單訪問的新目錄中。

被攻擊網站的主頁

然而，大多數被攻擊的網站都攻擊了主頁上其他部分的鏈接，因為攻擊者刪除了原始目錄，取而代之的是網絡釣魚內容。

攻擊者網站上的釣魚頁面

如果訪問者在虛假頁面上輸入數據，如網站憑證、包括CVV在內的銀行卡詳細信息或其他個人信息，這些數據將存儲在控制面板中。如果網站也植入了web shell，則任何人都可以訪問其內容，那麼受害者的數據對任何人都是可見的。

用戶數據被盜的頁面

攻擊者可能會在暗網上出售竊取的數據，或者利用這些數據從受害者的銀行賬戶中盜取資金。此外，他們可能會利用他們收集的信息，使他們未來的騙局看起來更可信。

WordPress網站被攻擊的痕蹟有幾個相當明顯的痕跡可能表明，你正在查看一個託管在受感染網站上的網絡釣魚頁面。頁面URL包含“/wp-Config/”、“/wp-content/”、“/wp-admin/”、“/wp-includes/”等文件夾，目標目錄包含一個PHP文件。以.php為擴展名的網頁可以在合法網站上看到，但如果與上述目錄名結合使用，則肯定是網絡釣魚的標誌。