Seja um membro da maior Comunidade Wordpress do Brasil:

Recentemente a Sucuri foi notificada sobre uso de e-mails de phishing enviado aos usuários do WordPress. No conteúdo do e-mail é informado que uma atualização do banco de dados é necessária.

Segurança WordPress: campanha de phishing de atualização do banco de dados - Hospedagem de Sites SECNET

É interessante perceber que o layout/design do e-mail é idêntico aos enviados pela equipe do WordPress. Porém os erros de digitação e jeito que foi solicitado já podemos perceber que é fraude.

O rodapé do e-mail é idêntico ao utilizado pela Automattic (responsável pelo WordPress), porém o link aponta para uma página suspeita de phishing.

Segurança WordPress: campanha de phishing de atualização do banco de dados - Hospedagem de Sites SECNET

Atualização Falsa

E ao clicar em “Atualizar WordPress” você é direcionado a uma página falsa do WordPress pronta para roubar suas informações do banco de dados.

Depois de inserir as informações de banco de dados e clicar em “Login”, a próxima tela solicita o endereço e o nome de usuário do seu site (muito suspeito) e nenhum caso informe suas credenciais, confira a autenticidade da página antes.

Ao clicar no botão “Atualizar banco de dados do WordPress” a etapa é completada e os dados são enviados para os invasores.

Segurança WordPress: campanha de phishing de atualização do banco de dados - Hospedagem de Sites SECNET

Cabeçalhos

Os cabeçalhos dos e-mails de phishing mostraram que eles vinham de um site invadido no servidor 47.49.12.164 (webserver2.ncswi.com).

O nome do script mal-intencionado do mailer é bastante genérico e também pode ser encontrado nos cabeçalhos – você pode encontrar mais algumas dicas sobre análise de cabeçalho aqui :

“X-PHP-Originating-Script: 48: mailer-1.php”

Foram encontrados muitos scripts diferentes de mailer com este nome em sites comprometidos.

Hackear um site para enviar spam de e-mail de seu servidor é bastante comum. Geralmente, os provedores de hospedagem suspendem esses sites invadidos porque não querem que seus IPs de servidor sejam incluídos em listas negras de anti-spam.

Isso destaca a importância de identificar e limpar um ataque antes que seu site seja suspenso pelo seu host.


E-BOOK GRÁTIS


6 Segredos que ninguém conta de como ganhar a 1ª página do Google

Precauções

Mesmo que seu WordPress esteja atualizado e com vários plugins de segurança, os hackers podem invadi-lo usando suas credenciais, como nesse caso. É comum ataques de phishing contra WP usarem páginas idênticas às originais para a captura das credenciais, por isso, fique atento na URL.

No caso acima, os invasores usaram um e-mail para enviar o phishing e coletar as credenciais de outros usuários do WordPress.

Quando um invasor obtém as credenciais de um site por meio dessa campanha, ele pode fazer o upload de backdoors ou usar o site para fornecer malware. Isso pode deixar seu site em uma lista negra e afetar significativamente o tráfego e a reputação do seu site – SEO.

Para identificar e-mails de phishing você pode seguir algumas regras:

  • Nunca confie em um e-mail que solicite a realização de uma ação que você não solicitou, especialmente se você não recebeu esse tipo de e-mail antes;
  • Verifique se o remetente corresponde ao conteúdo do e-mail;
  • Verifique o conteúdo em busca de erros de digitação ou formatação incorreta;
  • Verifique a URLs – se os domínios são legítimos.

O monitoramento também ajudará a encontrar arquivos novos ou modificados. A verificação de backdoors também é uma boa ideia, pois eles são normalmente instalados para permitir que o invasor mal-intencionado recupere o acesso ao seu site.

Outra modificação que pode ser feita para prevenir ataques é a alteração da URL admin do WordPress.

Lembre-se sempre de usar senhas fortes e para mais dicas confira Dicas para proteger a área de administração do WordPress.

Conclusão

É importante o papel do seu host nesses casos. Ele pode identificar o spam ou malware no seu site e notificá-lo, evitando grandes prejuízos. Na SECNET por exemplo, com o Cloud Monitor é possível verificar o consumo de recursos do servidor.

Gostou? Compartilhe com seus amigos para que mais pessoas conheçam essa campanha de Phishing que pode roubar as informações do site.

A SECNET não está só preocupada com os sites hospedados e gerenciados, mas com a satisfação e segurança dos seus clientes.

Quer avaliar o desempenho do seu site no ambiente da SECNET? Solicite uma demonstração gratuita do nosso serviço.

Fonte: WordPress Database Upgrade Phishing Campaign – Sucuri

Alavanque Seu Negócio!

Solicite uma Demonstração gratuita da Hospedagem de Sites SECNET!

Quer receber mais conteúdos como esse por e-mail de graça?

Cadastre-se agora e seja um membro da maior Comunidade Wordpress do Brasil!