Infracțiunile cibernetice s-au înmulțit, iar persoanele de rea credință exploatează rapid orice breșă de securitate. Directoratul Național de Securitate Informatică a emis o nouă alertă, de această dată fiind avuți în vedere deținătorii de site-uri. „Atenție! Atacatorii compromit site-uri legitime pe care le utilizează ulterior în atacuri de phishing. Recomandăm deținătorilor de site-uri să acorde atenția corespunzătoare securității acestora și să urmeze o serie de recomandări esențiale”, anunță DNSC. Specialiștii atrag atenția asupra faptului că site-urile legitime sunt compromise prin diverse tehnici de hacking, după care atacatorii creează subdomenii sau pagini pe acestea, unde afișează conținut malițios (ex: sitephishing.domeniu.ro sau domeniu.ro/phishing);
Crearea acestora este folosită de către atacatori în două scopuri, redirecționarea utilizatorilor către o pagină de phishing externă, respectiv găzduirea de conținut utilizat în scopul colectării datelor. Pentru a limita riscurile și a reduce posibilitatea de exploatare sau compromitere, DNSC recomandă aplicarea unui set de măsuri: o analiză completă a tuturor subdomeniilor configurate în DNS pentru a identifica eventuale subdomain takeovers sau resurse neutilizate care pot fi deturnate; eliminarea sau protejarea endpoint-urilor de tip redirect. Orice funcționalitate de tip /bbl/cbt/ care primește parametri ce pot fi interpretați ca linkuri trebuie revizuită. Se recomandă adăugarea unei pagini de confirmare înainte de redirecționare și validarea strictă a parametrilor primiți prin URL.
În cazul utilizării unor CMS-uri precum WordPress, Joomla sau altele, se recomandă actualizarea tuturor plugin-urilor și temelor, dezactivarea sau ștergerea plugin-urilor neutilizate și activarea logării detaliate și monitorizarea modificărilor fișierelor. Este recomandată identificarea și eliminarea oricăror fișiere neautorizate sau necunoscute în directoare precum /bbl/, /cbt/, etc. În plus, trebuie verificată existența unor fișiere .htaccess care permit execuția de cod în aceste directoare. Limitarea posibilității de upload neautorizat Dacă aplicația permite upload de fișiere (imagini, PDF-uri etc.), este necesară validarea tipului MIME pe server, redenumirea fișierelor la upload și salvarea lor într-un director fără permisiuni de execuție.
Se recomandă activarea următoarelor anteturi de securitate: Content-Security-Policy; X-Content-Type-Options: nosniff; X-Frame-Options: DENY; Referrer-Policy: no-referrer; Strict-Transport-Security (pentru HTTPS). Este necesară o analiză a logurilor de server (Apache, Nginx etc.) pentru a detecta accesări frecvente ale linkurilor malițioase, upload-uri neautorizate și redirecționări automate către domenii suspecte. În cazul în care subdomeniul este abandonat sau folosit pentru testare, este recomandată dezactivarea completă, sau blocarea sa prin autentificare (HTTP Basic Auth sau alt mecanism).
Configurarea DNS-ului cu politici stricte (CNAME / A records). Se recomandă o verificare a înregistrărilor DNS, în special pentru subdomeniile direcționate către servicii terțe, pentru a preveni preluarea acestora de către atacatori. Activarea monitorizării de securitate continuă, prin implementarea unor soluții WAF (Web Application Firewall), monitorizare de fișiere și scanare periodică pentru detectarea comportamentelor anormale. Activarea multi factor authentication pentru toate platformele ce dispun de această funcționalitate. Configurarea unei funcționalități de notificare prin e-mail pentru fiecare autentificare în contul de administrator, astfel încât orice acces neautorizat să fie detectat rapid. „Aceste măsuri oferă atât o vizibilitate mai bună asupra potențialelor abuzuri, cât și o reducere a suprafeței de atac asupra site-urilor legitime”, mai arată sursa citată.
FOTO DNSC Facebook
(G. S.)
