Japanski spam kroz User-Agent cloaking pronađen na sajtu Srpske državne uprave
Japanski spam sa User-Agent cloakingom otkriven na veb sajtu srpske državne uprave.
SrbijaŠta se desilo?
Na zvaničnom sajtu Uprave za saradnju s crkvama i verskim zajednicama (vere.gov.rs) otkriven je napredni oblik User-Agent cloakinga namenjen skrivanju štetnog sadržaja. Napadači koriste Google Bot identifikatore kako bi izbegli detekciju, a stvarnom posetiocu prikazuju spam sa reklamama za renoviranje kuća iz japanskog domena daiku.co.jp.
Koga pogađa?
Potencijalno su ugroženi svi građani koji pristupaju zvaničnom webu navedene državne institucije, iako aktivna distribucija štetnog sadržaja izgleda ograničena na određene URL putanje. Primarno su pogođeni korisnici koji slučajno naiđu na kontaminiranu stranicu, međutim rizik za širenje je mali s obzirom na loše konfiguraciju napada.
Kako se zaštititi?
- Izbjegavajte klikanje na sumnjive reklamne linkove ili forme na zvaničnim sajtovima
- Proverite sigurnosni sertifikat stranice - legitimni javni sajtovi uvek koriste HTTPS
- Koristite adblocker ili sigurnosni filter da sprečite učitavanje nepouzdanih resursa
- Prijavite sumnjivu aktivnost na sajtu nadležnim organima za sajber bezbednost
- Redovno čistite keš i kolačiće pregledača
Tehnički detalji
Napadači koriste sofisticiraniji pristup nego što je čest u praksi - falsificirani User-Agent string potpuno imitira legitimni Google Bot, uključujući Android verziju, Nexus verziju i Chrome verziju. Dodatna prevara uključuje proveru Referer zaglavlja kako bi izbegla otkriće. Učitavanje slika koristi base64 URI sa pokazivačem na japansku domen umesto direktnog linkovanja, što upućuje na nespretan pokušaj zaobilaženja filtera. Štetni sadržaj je dostupan kroz URL parametar /?contact, a karaktere su pogrešno enkodirani što rezultira zamenjenim znakovima umesto autentičnog japanskog teksta. Pored toga, resurs se učitavaju preko HTTP umesto HTTPS, što dovodi do blokiranja mešanih sadržaja od strane modernih pregledača.
Preporuka Sajber Radara
Ova kampanja, mada tehnički loše izvedena, ukazuje na kontinuirane pokušaje kompromitovanja državnih web sajtova. Preporučujemo nadležnim institucijama da hitno provere sajt, primene dodatne sigurnosne filtere i razmotre uspostavljanje WAF (Web Application Firewall) rešenja. Članovi javnosti trebali bi da budu oprezni pri posećivanju zvaničnih sajtova i da bez oklevanja prijave sumnjive aktivnosti.
