Efter en Google-søgning på et populært mærke for sportssko dukker et link op højt på listen under et tilforladeligt domænenavn. Et klik senere befinder den besøgende sig pludseligt på en webbutik under et andet domæne med, hvad der ligner store besparelser på skomærket. Men her er det en god idé at vente med at indtaste betalingsoplysninger.
Ifølge it-sikkerhedseksperten Peter Kruse, der er partner i konsulentvirksomheden CSIS, finder der for øjeblikket en bølge af svindelkampagner sted, hvor legitime danske hjemmesider bliver brugt til at sende besøgende videre til tvivlsomme web-butikker. Også udenlandske hjemmesider ser ud til at være mål for kampagnerne.
»Man skal ikke tøve mange sekunder i forhold til at spærre sit betalingskort, hvis man har brugt det på sådan en side,« siger Peter Kruse.
I bedste fald får den handlende på en af svindelhjemmesiderne tilsendt en kopi-mærkevarer i stedet for de rigtige sko. Og i værste fald kan resultatet blive en lænset bankkonto.
Peter Kruse forklarer, at CSIS gennem de senere måneder har registreret flere tilfælde, hvor hjemmesider på grund af sikkerhedshuller og manglende opdateringer bliver inficeret med kode, som sender besøgende videre til web-butikkerne. Og eftersom der er tale om ellers legitime domæner, så kan de ligge ganske højt i Googles ranking-system, når der bliver søgt på eksempelvis et særligt mærke af løbesko. Det kan dog også være andre populære mærkevarer end løbesko, butikkerne forsøger at prakke folk på, påpeger Peter Kruse.
Blackhat SEO
»De bruger blackhat search engine optimization-teknikker. Når der er tusindvis af hjemmesider, der bliver eksponenter for dem, så er chancen – eller risikoen om man vil – for at komme højt op i Googles søgemaskine-hierarki bliver jo større,« siger Peter Kruse.
Version2 er bekendt med flere eksempler på ellers legitime sites, der indeholder kode designet til at sende besøgende til en af de førnævnte web-butikker. I flere af de tilfælde, Version2 har set, har der været tale om asp-hjemmesider, der kører på en udgave af Microsofts IIS-server. Og i stort set alle tilfælde er der tale om det, der ligner mindre sites.
Men Peter Kruse påpeger, at det formentlig blot er i forbindelse med den seneste bølge af angreb, at netop dette mønster optræder. Generelt har CSIS bemærket en række forskellige teknikker, som bagmændene anvender, og som retter sig mod sikkerhedshuller i forskellige CMS’er, blandt andet Joomla og WordPress.
Peter Kruse fortæller, at de it-kriminelle jævnligt flytter de lyssky web-butikker over på nye domænenavne. Og at de sørger for at få de uforvarende brugere hen på de nye domæner ved at opdatere de scripts, som de har inficeret de ellers legitime hjemmesider med.
»Det er nogle folk, som udmærket godt ved, at det de laver, er kriminelt. Og de gør, hvad de kan, for at sikre sig, at den trafik, som de gerne vil have fat i fra lidt naive brugere, den kommer frem til deres fup-side. Det ser velorkestreret ud, og det er ikke kun Danmark, det rammer,« siger Peter Kruse.
Rådet fra Peter Kruse og CSIS, hvis man vil undgå ubuden kode på hjemmesiden er at holde sit CMS og plugin’s opdateret, og at undgå fejlkonfigurationer.
Leave a Reply