На днях был скомпрометирован один из web-ресурсов системы Banks’ Integrated Reporting Dictionary (BIRD) European Central Bank (ECB). По сообщению от ECB, на сайт был внедрен фишинговый код, с помощью которого злоумышленникам удалось получить данные о 481 подписчике сервиса.
Инцидент представляет вариант фишинга совмещенного с инъекцией и, возможно, эскалацией привилегий. То есть злоумышленник получает доступ к веб-сайту жертвы через компрометацию сервиса (например, ftp) или через удачную инъекцию в сам веб-сайт. Далее эскалируются права до достаточных для добавления фишингового контента (payload). После чего, встраивается нужный злоумышленнику кусок вредоносного кода: фишинговая страница или окно.
Оперативно детектировать такие взломы достаточно трудно. Среди рабочих способов:
- обратная связь от пользователей о странных запросах со стороны веб-сайта, например, о вводе данных банковской карты в необычном месте, или сообщения о блокировке ресурса от сканирующих агрегаторов типа Google или Yandex;
- сообщения от WAF или системные сообщения об эскалации привилегий подозрительной сетевой активности (скачивание payload);
- систематический аудит кода web-ресурса.
Для аудита исходного кода существует ряд специализированных решений. ГК Angara предлагает следующие:
