Hackere udnytter danske sites i svindelkampagne for sportssko

8. oktober 2014 kl. 06:292
En stribe danske hjemmesider sender uforvarende besøgende i hænderne på svindlere. Ifølge ekspert er der tale om en decideret kampagne, der finder sted for øjeblikket.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Efter en Google-søgning på et populært mærke for sportssko dukker et link op højt på listen under et tilforladeligt domænenavn. Et klik senere befinder den besøgende sig pludseligt på en webbutik under et andet domæne med, hvad der ligner store besparelser på skomærket. Men her er det en god idé at vente med at indtaste betalingsoplysninger.

Ifølge it-sikkerhedseksperten Peter Kruse, der er partner i konsulentvirksomheden CSIS, finder der for øjeblikket en bølge af svindelkampagner sted, hvor legitime danske hjemmesider bliver brugt til at sende besøgende videre til tvivlsomme web-butikker. Også udenlandske hjemmesider ser ud til at være mål for kampagnerne.

»Man skal ikke tøve mange sekunder i forhold til at spærre sit betalingskort, hvis man har brugt det på sådan en side,« siger Peter Kruse.

I bedste fald får den handlende på en af svindelhjemmesiderne tilsendt en kopi-mærkevarer i stedet for de rigtige sko. Og i værste fald kan resultatet blive en lænset bankkonto.

Artiklen fortsætter efter annoncen

Peter Kruse forklarer, at CSIS gennem de senere måneder har registreret flere tilfælde, hvor hjemmesider på grund af sikkerhedshuller og manglende opdateringer bliver inficeret med kode, som sender besøgende videre til web-butikkerne. Og eftersom der er tale om ellers legitime domæner, så kan de ligge ganske højt i Googles ranking-system, når der bliver søgt på eksempelvis et særligt mærke af løbesko. Det kan dog også være andre populære mærkevarer end løbesko, butikkerne forsøger at prakke folk på, påpeger Peter Kruse.

Blackhat SEO

»De bruger blackhat search engine optimization-teknikker. Når der er tusindvis af hjemmesider, der bliver eksponenter for dem, så er chancen - eller risikoen om man vil - for at komme højt op i Googles søgemaskine-hierarki bliver jo større,« siger Peter Kruse.

Version2 er bekendt med flere eksempler på ellers legitime sites, der indeholder kode designet til at sende besøgende til en af de førnævnte web-butikker. I flere af de tilfælde, Version2 har set, har der været tale om asp-hjemmesider, der kører på en udgave af Microsofts IIS-server. Og i stort set alle tilfælde er der tale om det, der ligner mindre sites.

Men Peter Kruse påpeger, at det formentlig blot er i forbindelse med den seneste bølge af angreb, at netop dette mønster optræder. Generelt har CSIS bemærket en række forskellige teknikker, som bagmændene anvender, og som retter sig mod sikkerhedshuller i forskellige CMS'er, blandt andet Joomla og Wordpress.

Peter Kruse fortæller, at de it-kriminelle jævnligt flytter de lyssky web-butikker over på nye domænenavne. Og at de sørger for at få de uforvarende brugere hen på de nye domæner ved at opdatere de scripts, som de har inficeret de ellers legitime hjemmesider med.

»Det er nogle folk, som udmærket godt ved, at det de laver, er kriminelt. Og de gør, hvad de kan, for at sikre sig, at den trafik, som de gerne vil have fat i fra lidt naive brugere, den kommer frem til deres fup-side. Det ser velorkestreret ud, og det er ikke kun Danmark, det rammer,« siger Peter Kruse.

Rådet fra Peter Kruse og CSIS, hvis man vil undgå ubuden kode på hjemmesiden er at holde sit CMS og plugin’s opdateret, og at undgå fejlkonfigurationer.

2 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
8. oktober 2014 kl. 14:20

Jeg fik forleden på Facebook besked om, at jeg var blevet tilføjet en gruppe, der skulle være et marked for sportssko (hvilket jeg bestemt ikke havde bedt om). Det er nok en del af samme sag.