Conoce los ataques más frecuentes en los sitios web

La transformación digital acelerada en el 2020 y al aumento de conectividad trajo consigo grandes soluciones a los usuarios, pero al mismo tiempo incrementó la cantidad de ataques. La compañía en detección proactiva de amenazas -ESET – reveló en su último informe un crecimiento del 768% de los ataques al RDP (Protocolo de Escritorio Remoto) entre el primer y el último cuatrimestre de 2020.

Conozca a continuación las formas más comunes en las que los cibercriminales utilizan los sitios web comprometidos para sus fines maliciosos:

1- Inyectar un backdoor 

Estas puertas traseras, tal como su nombre indica, son vías de acceso “escondidas” a la vista del sistema y permiten al atacante controlar de manera remota y continua un sitio comprometido.

Un backdoor permite al atacante utilizar el sitio de diversas maneras, con ventanas emergentes o publicidad indeseada; incluso colocar enlaces escondidos para alojar algún archivo malicioso en otro sitio para que se descargue en el equipo de los usuarios.

Eliminar este tipo de amenazas no es sencillo. Al ser una entrada que esquiva los controles de seguridad, no basta con cambiar las contraseñas ni eliminar la infección plantada; es necesario detectar el código desde su lugar de origen y eliminarlo de raíz. En caso contrario, quien instaló el backdoor puede acceder al sitio e infectarlo de nuevo.

2-Ataques de defacement

Esto ocurre cuando un atacante aprovecha una vulnerabilidad para modificar la apariencia visual de un sitio web. Consiste en que los actores malintencionados plasmen un mensaje o su propia firma, como un graffiti, dejando en claro que son responsables de los cambios en el sitio.

En el caso de los mensajes, las motivaciones suelen ser sociales, políticas o religiosas. Usualmente dejan en claro la causa por la cual realizaron el ataque, mencionando a los culpables, que pueden ser o no los dueños del sitio víctima. Además, en algunos casos se hace uso del factor shock, mostrando imágenes o datos crudos.

3-Ataques de inyección de contenido SEO

Dado que la calidad y cantidad de enlaces que recibe un sitio web es un factor importante en el posicionamiento en los motores de búsqueda, los ataques de inyección SEO son los encargados de comprometer un sitio para colocar enlaces hacia otros sitios. Esto los dirige a otro sitio web (bajo el control del hacker), con la intención de mejorar su posicionamiento y aumentar su alcance.

Estos enlaces usualmente se encuentran en lugares como el pie de página, cerca de una publicidad benigna, o en cualquier lugar donde el usuario tenga pocas probabilidades de hacer click. Esto nos habla sobre lo difícil que es detectar este tipo de ataque, puesto que pasa desapercibido para la mayoría de los visitantes.

Los atacantes recurren a esta técnica con sitios potencialmente ilegales, para los cuales no es una opción tener publicidad de forma legal: sitios de descargas ilegales, compra y venta de artículos prohibidos, sitios de engaños, entre otros.

4-Creación de páginas de spam

El objetivo de este ataque es aumentar la popularidad de un sitio en un motor de búsqueda. Como contraparte, lo inyectado no se trata de enlaces, sino de múltiples páginas HTML que incluyen enlaces a contenido spam o contenido indeseado (publicidad).

De no ser mitigado rápidamente, la infección puede volverse profunda a un nivel tan alto que cause que a la hora de buscar un sitio en los motores de búsqueda aparezcan estas páginas inyectadas por el atacante en los resultados.

5-Creación de mailers en PHP

Los atacantes abusan de los mailers para vulnerar el mecanismo de envío de correos del servidor de un sitio, tomando control para difundir sus propias comunicaciones. Estas pueden variar desde spam o publicidad indeseada, hasta campañas de phishing para robar información o descargar malware.

El principal atractivo de un sitio para los cibercriminales que buscan inyectar mailers se basa en la reputación del sitio. Por ejemplo, si es un sitio confiable, como el de una empresa reconocida, probablemente evada los filtros antispam de los proveedores de servicios de correo electrónico.

6-Distribuir campañas de phishing

Es un clásico de los ataques que consiste en el envío de correos electrónicos en los que se suplanta la identidad de algún remitente confiable (por ejemplo, un banco o tienda online). En dicho correo se solicita al receptor que haga click en un enlace malicioso, luego lo dirigirá a una página donde ingresará sus datos personales para »resolver alguna urgencia o problema de gravedad».

Por ello, el phishing es por lejos, el método más popular de robo de información en circulación.

De hecho los atacantes pueden crear una página web que se hace pasar por el sitio web oficial de una marca o entidad suplantando la identidad del sitio

7-Redireccionar a los usuarios a sitios maliciosos

Se basa en llevar a usuarios legítimos a ingresar a una página web que no se corresponde con el enlace en el cual hicieron click. Luego de esto, las víctimas son redireccionadas a otras páginas que ofrecen contenido spam o descargan malware en el ordenador de quien acceda. Según sea el código malicioso descargado en el equipo de la víctima el atacante podrá: robar información, seguir propagándose o hasta cifrar los archivos del equipo para luego pedir dinero para su rescate.

8-Utilizarlos como Command & Control (C&C) 

Los atacantes utilizan estos sitios para comunicarse con los sitios y/o dispositivos que conforman una botnet, una red de sitios o dispositivos infectados, conocidos como “zombies”, que son controlados por el atacante mediante un servidor maestro para realizar acciones maliciosas o expandirse a otros dispositivos. Este servidor maestro, también conocido como Comando & Control (C&C, por sus siglas en inglés o C2), debe pasar desapercibido el mayor tiempo posible. A pesar de ser más frecuentes los ataques donde los “zombies” son equipos físicos, los dirigidos a sitios web no son poco frecuentes. Explotando vulnerabilidades en distintos complementos, como plugins o extensiones, los atacantes transforman a los sitios en zombies para luego atacar a otros sitios y/o infectar a sus usuarios.

9-Inyectar un malware para minar criptomonedas

Un atacante puede comprometer un sitio para inyectar un script y así utilizar los recursos del equipo del visitante, sin su consentimiento, para minar criptomonedas. Mediante una puerta de entrada, como un backdoor o una botnet, los atacantes pueden instalar en sitios comprometidos un minero de criptomonedas. En este ataque, lo que se aprovecha son los recursos del hosting del sitio, independientemente del tráfico que reciba.

Al igual que en la mayoría de los ataques antes mencionados, esto puede ser detectado por la empresa que ofrece el servicio de hosting al sitio y, de ser así, el sitio puede ser penalizado e incluso desconectado de la web, causando que el sitio no esté disponible por un tiempo indefinido.

Notiespartano/2001

Compruebe también

Documento revela cómo funciona algoritmo de TikTok

Hay un debate político en curso sobre si los algoritmos de las redes sociales podrían …