Esta pergunta que veio de um proprietário de um pequeno site com centenas ou milhares de visitantes por dia é, infelizmente, muito comum.
Um dia eu comecei a receber emails dos meus clientes reclamando que os seus antivírus alertaram que o meu site estava infectado e não os deixavam entrar. Deve ser algum engano porque eu não tenho um loja virtual. Só há um formulário de contato e informações aos clientes. É possível que alguém esteja atacando o meu negócio?
A resposta é, na maioria dos casos, que "você se tornou parte de uma rede que envia automaticamente aos usuários um kit infectado" (ver explicação abaixo).
Por que os hackers atacam pequenos sites quando há alvos muito maiores?
Os pequenos sites têm uma frequência de atualizações muito menor e a possibilidade de que alguém encontre e corrija o código malicioso também é pequena, o que os torna atrativos aos hackers. Os hackers procuram por páginas não atualizadas que utilizam ferramentas de construção gratuitas porque podem atacá-las de forma rápida e fácil. Estas páginas são depois utilizadas para separar os usuários que possuem aplicativos vulneráveis nos seu computador daqueles que não podem ser atacados ou, simplesmente, para esconder a sua verdadeira identidade. Os hackers "fecham a porta" atrás de si "corrigindo" a vulnerabilidade que os permitiu entrar e, simultaneamente, criando outra passagem somente para eles, de forma que a página não aparece como suspeita quando for testada pelo computador.
Em geral, há três tipos comuns de ações de hackers que um administrador da página deve estar atento:
1. Deface, defacement ou pichações
Este tipo de ataque é reconhecido à primeira vista porque o site é alterado para mostrar uma mensagem dos hackers provando a sua capacidade e caçoando do administrador do site.
Geralmente é o ataque menos perigoso e, a menos que a sua página for excluída, você não terá nenhum prejuízo financeiro porque a motivação do ataque era apenas mostrar o baixo nível da segurança das suas páginas e ganhar credibilidade diante dos outros hackers. As pessoas que fazem estes ataques geralmente seguem a regra não aprenda a hackear, hackeie para aprender.
Por exemplo, há estruturas PHP que permitem que você escolha o método e o motivo da pichação e o publique online. A imagem abaixo mostra parte do PHP que envia estatísticas.
De acordo com as estatísticas da Zone-H, houve 1,5 milhões de sites pichados em 2010 e a figura à direita mostra as razões dos ataques. Um milhão e meio parece um grande número, mas estes são apenas os ataques documentados e o número real pode ser muito maior.
Nos últimos anos, as pichações foram utilizadas para mostrar opiniões políticas ou éticas atacando sites com milhares de visitantes diários. Isto atrai a mídia e ganha toda a atenção possível. Mesmo companhias antivírus, como você pode ver no recente artigo sobre a tentativa de hackers contra o avast!.
2. Data Mining ou mineração de dados
O objetivo do ataque de mineração de dados é roubar dados pessoais dos usuários e suas credenciais armazenadas em vários serviços, geralmente de lojas online, fóruns e portais de jogos. Os dados roubados são vendidos, no melhor dos casos, para redes de propaganda ou, no pior dos casos, para fraudes bancárias. A mineração de dados é de difícil detecção porque ocorre rapidamente e o único rastro é um alto tráfego de dados saindo do sistema quando o banco de dados é baixado.
A técnica básica para evitar a perda de dados pessoais dos usuários é a criptografia. Se dados sensíveis como senhas, números de cartão de crédito e telefones são criptografados com códigos aleatórios e pelo menos 10 caracteres, o hacker terá de ter acesso diretamente ao código fonte para obter os códigos aleatórios e por isso a probabilidade de sucesso do ataque é menor.
Utilizando diferentes bancos de dados de usuário em cada loja ou fórum, força os usuários a criar muitas senhas fáceis de guardas ou utilizar a mesma senha todas as vezes. A solução para isto é utilizar um serviço de autenticação que forneça um nível de segurança e proteção dos dados dos usuários maior do que as soluções gratuitas. Mas nenhuma empresa está 100% protegida contra hackers: um dos maiores vazamentos de dados este ano foi na rede Adobe, onde 38 milhões de contas de usuários foram comprometidas. Ainda pior foi o fato de que alguns dos seus códigos fonte caíram nas mãos erradas. Outra grande invasão foi permitida por vulnerabilidades no servidor da ColdFusion que resultou em um roubo de dados da NW3C.
3. Exploit Kits e suas redes
Um Exploit Kit é um conjunto de testes de vulnerabilidade e possibilidades de hackear que são carregadas no navegador do usuário para executar códigos maliciosos sem o seu consentimento. Sites com código malicioso são chamados de "páginas de destino" e frequentemente estão localizados em serviços de host gratuitos. Para obter o tráfego dos usuários, os proprietários dos Exploit Kits criam redes a partir de pequenas páginas hackeadas, como a daquele usuário que nos fazia a pergunta por email. O objetivo é redirecionar o navegador sem serem detectados e, portanto, as páginas infectadas não mostram nenhum sinal de alteração. Eles verificam o navegador em segundo plano e enviam o usuário silenciosamente para a página de destino se a vulnerabilidade tiver sido explorada.
A imagem abaixo mostra um script de redirecionamento de uma recente campanha em servidores de propaganda.
O criador de uma rede infectada procura por sites com conhecidos problemas de segurança e quando ele obtém acesso ao FTP, vários modelos e aplicativos podem ser infectados para conseguir o redirecionamento.
As páginas que são partes de uma rede de Exploit Kits sofrem sérias consequências:
- O ranking em mecanismos de busca cai rapidamente
- Sites de reputação e de companhias de antivírus as colocam na lista negra
- Os usuários sem proteção são infectados com malwares
- Os usuários sem antivírus perdem a confiança no site
Para evitar a infecção de robôs automáticos, aqui estão algumas sugestões:
- Atualize o seu CMS e plugins todas as vezes em que uma nova versão estiver disponível
- Altere o nome padrão do administrador e escolha uma senha forte
- Utilize o antivírus no computador onde você gerencia o site
- Atualize os arquivos com o protocolo SFTP em vez do FTP
Amostras dos malwares utilizados neste artigo podem ser encontradas no Vírus Total sob os seguintes SHA256:
[php-shell] - 3fad3437e7684bae0381a963f0461f647766a13d28fd36201a85172c1d56da6c
[redirector] - d4d20acc0069d55e31a6f94baf83523057e0d0add09c1953e070b6e1aeb09102
Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram.