Phishing-websteder bruger hackede servere

Artiklen blev oprindeligt publiceret den 3/3/2009

Tre ud af fire phishing-websteder ligger på hackede webservere. Bagmændene bruger websøgninger til at finde sårbare servere.

Det fremgår af en undersøgelse, som forskerne Tyler Moore og Richard Clayton har gennemført. De har kigget på websteder, der bruges til phishing-svindel, spredning af skadelige programmer og andre former for internetkriminalitet.

Undersøgelsen viser, at 76 procent af webstederne ligger på legitime servere, der er hacket. 17 procent er på gratis webhoteller, mens resten er på servere, som hackerne selv styrer.

Formålet med undersøgelsen var at finde ud af, hvordan bagmændene finder frem til sårbare servere, som de kan misbruge. Det viser sig, at de i høj grad anvender websøgninger.

Det fremgår af data fra webstedet The Webalizer, hvor brugerstatistikker for websteder ligger offentligt tilgængelig. Her kan man i feltet Referrer se, hvilken Google-søgning der har ført frem til webstedet.

Ofte er det søgninger efter versioner af webprogrammer, som har kendte sårbarheder. I andre tilfælde søger hackerne efter websteder, hvor der i forvejen ligger phishing-svindel. På den måde kan den samme server ofte lægge diskplads til flere forskellige svindelsteder på samme tid.

Links

• Richard Claytons blog om rapporten
• Rapporten "Evil Searching: Compromise and Recompromise of Internet Hosts for Phishing" (PDF-format)