Ci è già capitato in altre occasioni di parlare della sicurezza e dei sistemi che devi mettere in atto perché il tuo sito WordPress sia pressoché inespugnabile ma una nuova e allarmante campagna di phishing potrebbe rendere qualunque sistema di difesa obsoleto.
Avere un sito web performante non significa soltanto avere un sito web che risponde rapidamente ai click degli utenti ma anche avere un sito web che protegge i dati personali che eventualmente sono presenti al suo interno. Una questione che riguarda in misura maggiore ovviamente i siti di e-commerce ma che tutti i siti devono affrontare. Il motivo è facilmente intuibile: se un utente che clicca su qualcosa che si trova all’interno del tuo sito web finisce con il beccarsi qualche virus informatico e la causa viene rintracciato sul tuo sito è chiaro che la tua reputazione e la tenuta della tua presenza online sono a rischio.
Per questo motivo esistono vari sistemi con cui è possibile alzare le difese di tutti i siti web a partire dai server su cui sono ospitati, passando per quelle buone pratiche che non andrebbero mai dimenticate e concludendo con gli aggiornamenti periodici. E gli aggiornamenti periodici e il controllo delle tue linee di difesa sono molto importanti, soprattutto perché chi lavora per portare scompiglio nel web non si ferma mai ed esattamente come vengono rilasciate patch per chiudere le eventuali falle della sicurezza dei plugin e di WordPress, allo stesso modo il mondo criminale lavora per aggiornare i suoi strumenti. E stavolta quello che è emerso da un monitoraggio fatto da Patchstack meriterebbe un premio per la malignità. È stata infatti riscontrata una nuova campagna di phishing talmente tanto semplice da risultare la minaccia più pericolosa al momento in circolazione.
Sito WordPress bucato e potrebbe essere colpa tua
Come funzionano le campagne di phishing per l’utente medio? Nelle caselle di posta di migliaia e migliaia di utenti ovunque nel mondo vengono fatte arrivare delle mail , mail all’apparenza più o meno realistica e attraverso queste mail si cerca di carpire i dati personali degli utenti oppure di instradarli verso siti che a loro volta sono stati approntati per assomigliare a siti web reali, magari quelli degli istituti bancari. L’utente poco accorto segue il link e finisce con il consegnare i propri dati ai criminali informatici. Ma questo sistema lavora solo con gli utenti finali dei siti web, giusto?
A quanto pare qualche criminale informatico ha deciso di sfruttare questo stesso sistema per mettere su un campagna di phishing estremamente pericolosa proprio per i proprietari dei siti WordPress. Il sistema segue il canovaccio degli attacchi agli utenti tradizionali con una email che notifica di una possibile falla che può essere risolta scaricando un plugin che a suo volta installerebbe una patch di sicurezza. Il messaggio sembra arrivare da WordPress e c’è addirittura il piccolo logo con la W a dimostrazione del fatto che dovrebbe essere una email legittima.
Nel momento in cui però si prova a scaricare il plugin cliccando sul link che viene fornito si finisce non sul sito ufficiale di WordPress ma su un sito clone in cui è addirittura stata ricreata per intero la pagina tradizionale che chi gestisce siti si trova davanti quando deve scaricare un plugin.Gli smaliziati criminali informatici hanno addirittura creato una lista di sviluppatori i cui nomi sono presi dalla lista ufficiale degli sviluppatori di WordPress. Nel momento in cui viene installato il plugin parte l’attacco CVE che può prendere diverse forme, spiegano gli esperti di Patchstack: estrapolare dati sensibili degli utenti, far apparire pubblicità pop-up , indirizzare verso siti malevoli. Una nuova frontiera della creatività criminale quindi che gioca sulla preoccupazione legittima dei gestori di siti web di rimanere sempre nell’alveo della sicurezza. Ma come difendersi da questo genere di attacco alla sicurezza?
Mai abbandonare la regola del sospetto
Per riuscire a schivare questo genere di attacchi la prima cosa da fare è mantenere la calma, soprattutto quando le email hanno un tono volutamente preoccupante o allarmistico (e nel caso di questa campagna di phishing si percepisce la fantomatica pericolosità soprattutto nella finta pagina del plugin). Oltre a ricordare che WordPress non ha l’abitudine di mandare email chiedendo di installare alcun chè. Come avrai ormai imparato i rilasci delle patch di sicurezza arrivano solo e soltanto attraverso il sito ufficiale e non c’è comunicazione ai singoli gestori di siti web. Se ricevi una comunicazione che rimanda ad un qualche link, quello che devi fare immediatamente è esaminare la URL che ti viene fornita identificandone il reale dominio. Non hai bisogno di cliccare: ti basta posizionare il cursore sul link e vedrai apparire quella che è la destinazione. Se non è un bel post(o) cancella la mail e fai bel respiro.