Cosa fanno gli hacker una volta entrati nel vostro sito

Molto spesso è difficile capire l’importanza della sicurezza del proprio sito: ci si chiede perché un hacker dovrebbe mai attaccare un sito aziendale che non contiene dati sensibili o non riceve migliaia di visite al mese.

Sfortunatamente un sito, qualsiasi sito, sotto molti aspetti rappresenta per un hacker una notevole potenziale fonte di guadagno, e comunemente ci si accorge troppo tardi del danno ricevuto.

Il team di esperti di sicurezza wordpress di Wordfence ha condotto un sondaggio che mostra chiaramente come vengono usati i siti colpiti

Trattandosi di un argomento di notevole interesse abbiamo tradotto con la loro autorizzazione il loro articolo in modo da renderlo fruibile a chi non legge fluentemente inglese.

Questo articolo tratta di siti realizzati in Wordpress, ma è grandemente applicabile all’argomento generale dei siti web.

Su un totale di 873 risposte (contando che molte risposte cadevano in più categorie per cui risulta volutamente un totale superiore al 100%)

Categorie come “installata backdoor” o “malware installato” non sono state tenute in considerazione in quanto le consideriamo più un mezzo per un fine, ci siamo invece concentrati sulla domanda “qual è il guadagno dell’hacker?”

Come potete vedere il grafico mostra una vasta gamma di pratiche effettuate una volta che il sito in wordpress è stato compromesso. Approfondiamole individualmente una ad una, in modo da poter ottenere una migliore comprensione dei motivi dietro questi attacchi da cui costantemente ci difendiamo.

Siti deturpati o mandati offline

In alcuni casi gli hacker sostituiscono il vostro contenuto con il loro. Nei casi più comuni si tratta di contenuti di gruppi terroristici e simili; anche il semplice vantarsi dell’aver hackerato il vostro sito è una pratica abbastanza comune. In questi casi l’hacker non sta facendo assolutamente niente per nascondere il suo operato, chiunque visiterà il sito si renderà conto di quanto successo.

In altri casi l’hacker si limita a distruggere il sito mandandolo offline; in base alla nostra esperienza nella maggioranza di questi casi l’hacker ha semplicemente commesso qualche errore mentre operava sul vostro sito mandando il sito offline.

Qual è il guadagno dell’hacker?

In questi casi il guadagno per l’hacker è semplice propaganda della propria causa o abilità, nonché una ricerca di “visibilità”.

Invio di spam

Da molto tempo lo spam costituisce un grosso problema: in base a Statistica il 59 % circa, di tutte le mail in internet nel 2021 erano mail di spam. Il sondaggio mostra che il 19.8% dei siti in Wordpress compromessi sono stati usati per mandare spam.

In molti casi i proprietari di questi siti sono venuti a conoscenza di questo fatto solo molto tempo dopo. Alcuni hanno notato un rallentamento nei loro siti, dei picchi di utilizzo del server sospetti o sono stati avvisati dai loro stessi hosting.

Sfortunatamente una grossa parte di loro lo ha scoperto trovandosi inseriti in servizi di blacklist come Spamhaus. Questo può avere effetti molto gravi se, come molti altri, il loro business dipendeva dalle mail per comunicare con i propri clienti.

E il guadagno dell’hacker?

In questo caso l’hacker ottiene 2 grossi vantaggi, in primis è in grado di utilizzare gratuitamente risorse che voi state pagando; in secondo luogo, almeno fino a quando non avranno rovinato la vostra reputazione online, le loro email di spam avranno un enorme beneficio dall’essere spedite dal vostro dominio e IP “puliti”. In ultima analisi stanno cercando di spedire spam per reindirizzare persone ai loro siti truffa.

Spam SEO

Un hacker può utilizzare il vostro sito in diversi modi, per ottenere un vantaggio sulle posizioni nei motori di ricerca dei suoi siti. Il primo è più semplice e consiste nel creare pagine apposite sul vostro sito, approfittando della vostra reputazione “Pulita” agli occhi dei motori di ricerca e della vostra Authority.

In seguito verranno nascosti nel sito diversi link a siti che l’hacker desidera favorire, dopotutto i backlink sono tuttora una parte di primaria importanza nel posizionamento sui motori di ricerca.

Molte persone sottoposte a sondaggio hanno fatto specifico riferimento sull’uso di questo tipo di attività per migliorare il posizionamento di siti dedicati alla vendita di prodotti farmaceutici.

I vantaggi per l’hacker?

Come è noto alla maggioranza di voi un buon posizionamento è un ottimo modo per portare traffico a un sito. “truffando” il sistema con questo tipo di spam l’hacker è in grado di dirottare il traffico da siti legittimi verso i suoi siti.

Redirect dannosi

I redirect (o reindirizzamenti) sono un mezzo incredibilmente efficace per incanalre traffico versi i siti truffa dell’hacker. L’utente non deve cliccare su un link o sopra un banner pubblicitario, è portato automaticamente su questi siti senza sospettare niente.

Può capitare che l’hacker adotti un approccio molto aggressivo, reindirizzando tutto il traffico di un sito verso i suoi siti; in realtà però nella maggioranza dei casi implementerà dei sistemi per evitare che la sua intrusione sia scoperta, per esempio reindirizzando solo alcune delle persone che visitano il vostro sito o in certi casi attivando il redirect solo per chi usa un tipo specifico di browser o di strumento per navigare.

Qual è il guadagno dell’hacker?

Lo scopo è semplicemente quello di incanalare traffico verso i loro siti truffa

Pagine di phishing

Le pagine di phishing sono pagine che cercano di ingannare il visitatore al fine di ottenere da lui informazioni di carattere sensibile. In certi casi si fingono siti bancari o rivenditori in modo da ottenere numeri di carte di credito in modo diretto; in altri tentano di ottenere il vostro nome utente e password per vari siti, inclusi i vostri siti in wordpress se non si è più che cauti.

Cosa ottiene l’hacker?

Il valore dei dati delle vostre carte di credito è evidente, possono inoltre usare altri dati per avere poi accesso a vari account online di una certa importanza al fine di operare un furto di identità oppure al fine di inviare attacchi di phishing ancora più mirati e difficili da individuare

Distribuire Malware

Una volta entrato nel vostro sito l’hacker può installare dei programmi novici in grado di installare virus e malware nei computer di chi visita il vostro sito senza che ne vengano a conoscenza. Questo è potenzialmente incredibilmente pericoloso.

Se Google rileva che ciò sta succedendo il vostro sito verrà etichettato all’interno del loro programma per la navigazione sicura. Questo porterà un grosso calo del traffico SEO al vostro sito e ancora peggio i visitatori infetti non saranno certo contenti di voi. L’impatto sulla vostra reputazione potrebbe essere duraturo, fortunatamente solo il 2.9% degli intervistati ha riscontrato questo problema.

E l’hacker?

Installare virus e malware in centinaia o migliaia di computer dei vostri visitatori l’hacker si garantisce una porta d’accesso diretta per rubare le loro informazioni ed effettuare altre operazioni ai loro danni.

Furto dei dati utente

Tenendo conto del fatto che la maggior parte delle persone con cui parliamo è preoccupata che gli hacker siano interessati ai loro dati, siamo stati sopresi di scoprire che solo l’1,1% degli intervistati hanno riscontrato questo problema.

Pensiamo che la ragione alla base di ciò sia che la maggior parte dei siti in Wordpress non contiene dati sensibili aldilà delle semplici credenziali d’accesso e indirizzi mail; si deve inoltre tenere conto che sarebbe molto difficile per il proprietario di un sito rendersi conto del furto, per cui è probabile che questa percentuale sia una sottostima.

Come ci guadagna l’hacker?

Una volta rubati i dati di accesso questi possono essere usati per rientrare nel sito, anche se questo è stato pulito dall’infezione; questi dati possono inoltre essere utilizzati in altri siti noti nella speranza che l’utente usi un’unica password per i vari siti che visita.

Le mail rubate possono essere usate per essere inserite il liste spam e ovviamente informazioni più sensibili come i dati della carta di credito sono ancora più di valore.

Sito usato come base per attività dannose

In alcuni casi l’hacker decide di usare il vostro sito web come base per lanciare attacchi ad altri siti. Si tratta di una pratica poco comune in base ai nostri sondaggi, i quali mostrano che questo succede solo nello 0,7% dei casi.

Qual è il guadagno dell’hacker?

L’hacker ottiene gratuitamente l’utilizzo del vostro server, che userà per le sue attività fraudolente. A ciò si aggiunge che, fino a che la vostra reputazione non sarà rovinata, gli sarà molto più facile passare oltre le difese delle sue vittime partendo dal vostro dominio e IP “puliti”.

Ransomware

Un Ransomware è un software fraudolento che impedisce l’accesso al tuo sito e richiede il pagamento di un riscatto per poter ripristinare l’accesso a tale sito e ai suoi dati. Questo tipo di attacchi sta ricevendo molta attenzione, recentemente da parte dei blog di settore e dalla stampa, è stata quindi una sorpresa constatare che solo lo 0.6% delle persone intervistate ha riscontrato questo tipo di problema.

Cosa ottiene l’hacker?

Se non si possiedono dei backup aggiornati, tenuti al di fuori della portata dell’attacco, potreste decidere di pagare i soldi del riscatto per riavere i vostri dati.

Ospitare contenuto dannoso

Molto spesso in seguito ad un attacco l’hacker tenterà di usare il vostro spazio web per ospitare contenuto dannoso che potranno poi usare “chiamandolo” da altri server. Essenzialmente stanno silenziosamente usando il vostro server come deposito file a loro uso personale.

Qual è il guadagno dell’hacker?

L’hacker ottiene senza spese uno spazio web in cui ospitare i propri file, in uno spazio dalla reputazione immacolata.

Referrer Spam

Chiunque utilizzi Google Analytics è familiare con il concetto di referrer spam. Questo tipo di spam è generato dal traffico di bot (programmi automatici) in modo da far sembrare che provenga da una fonte che risulta in realtà fasulla. Lo spammer sta cercando di indurre il proprietario del sito a controllare da dove provenga tutto quel traffico, andando a visitare tale sito e aumentandone di conseguenza le visite.

L’hacker?

Come per molte attività fraudolente di questo genere lo scopo è di utilizzare gratuitamente le risorse del vostro server e la sua reputazione pulita al fine di indirizzare traffico verso uno dei loro siti, per ragioni che frequentemente risultano illecite.

In conclusione

Se pensavate che il vostro sito non potesse minimamente interesse ad hacker, speriamo che questo post possa esservi stato di aiuto nel farvi cambiare idea e nel darvi un’idea delle loro motivazioni e metodologie d’azione.

Articolo originariamente scritto da Dan Moen e tradotto dal blog Wordfence

Post correlati