Sajt vojne ustanove Tara kompromitovan fišing i kazino spamom
Vojni sajt Tara je kompromitovan i korišćen za fišing, prikazujući Amazon prevare i WhatsApp prevare običnim korisnicima.
SrbijaŠta se desilo?
Podsajt Vojske Srbije namenjeni Vojnoj ustanovi Tara (hotelitara.mod.gov.rs) je tokom nedavne nedelje doživeo sigurnosni incident. Napadači su ubacili zlonamerni kod koji prikazuje lažne Amazon stranice i redirekcije ka WhatsApp prevarama, sve sa ciljem licejtanja preko Google pretrage i zamamljivanja korisnika.
Kako je do toga došlo?
Sajt se hostuje na Hosteurope GmbH serveru kroz Plesk deljeni hosting, zajedno sa drugim regionalnim hotelima. Napadači su iskoristili sofisticirani pristup - sajt detektuje tip poslatilaca i prikazuje razlicit sadrzaj u zavisnosti od toga da li dolazi od Google botova ili od obicnih korisnika. Kada Google crawler poseti stranice sa putanje /online, vidi Amazon fišing sadrzaj. Međutim, kada obicni korisnik klikne na iste linkove iz Google pretrage, biva preusmeren na WhatsApp prevare putem lanca redirekcija koje vode do whatsgrouplink.com.
Koga pogađa?
Potencijalni žrtve su građani i zaposleni koji koriste Google pretragu i naiđu na zaražene linkove. Rizik je posebno velik jer je reč o sajtu vojne institucije, što povecava poverenje korisnika. Takođe su pogođeni: regularni gosti hotela Tara, osobe koje traže informacije putem pretrage, kao i druge vebsajt na istom serveru.
Kako se zaštititi?
- Izbegavajte klikove na linkove iz Google pretrage koji vam deluju sumnjivo ili neočekivano
- Nemojte otvarati linkove ka WhatsApp grupama od nepoznatih izvora
- Pazite na znakove fišinga - lažne Amazon stranice često imaju manje greške u dizajnu ili URL-u
- Ukoliko ste slučajno otvorili sumnjiv link, nemojte deliti licne podatke ili pristupe
- Prijavljujte sumnjive linkove Google-u preko opcije "Prijavite zloupotreba" u pretrazi
Tehnički detalji
Sajt koristi WordPress sa temom "vutara-theme-nova verzija 1.0". PHP verzija je 8.0.30, koja je bila do-kraja-životni-ciklusa (EOL) od 2023. godine. Trenutno se na putanji /online nalazi oko 3.300 dinamički generisanih stranica koje sadrze zlonamerni kod. Napadač je iskoristio detekciju User-Agent stringa i Referer zaglavlja da prikaže razlicit sadrzaj - fišing za Amazon prema Google botovima i redirekcije ka WhatsApp prevarama prema normalnim korisnicima. Finalni lanac redirekcije vodi do whatsgrouplink.com, koji se sada nalazi u stanju parkiranja, mada pokazuje nepoklapanja između Verisign i GoDaddy WHOIS baza podataka.
Preporuka Sajber Radara
Vojska Srbije i registrator domena trebaju hitno da deaktivizuju zaražene stranice i provere kako je došlo do kompromitovanja. Svi korisnici koji su posetili sajt kroz Google pretragu trebalo bi da budu obavesćeni o mogućoj izloženosti. Deljeni Plesk hosting predstavlja dodatni rizik jer je kompromitovanje moglo da utiče i na druge vebsajtove na istoj infrastrukturi.