Wix vise WordPress avec une nouvelle campagne publicitaire

Une nouvelle campagne publicitaire Wix cible WordPress mais finit par être sourde à la fois en termes de contenu et de stratégie. De nouveaux détails émergent sur le compromis PHP, mais l’histoire complète reste floue. Les données des utilisateurs Facebook de 2019 se retrouvent sur le dark web, et Have I Been Pwned ajoute une vérification du numéro de téléphone pour aider les utilisateurs à déterminer s’ils ont été affectés. Les actions GitHub sont utilisées par les cryptojackers, les téléphones Gigaset Android ont été infectés par des logiciels malveillants lors d’une attaque de la chaîne d’approvisionnement et de nouvelles méthodes de phishing émergent à l’aide de Telegram.

Voici les horodatages et les liens au cas où vous voudriez sauter, et une transcription est ci-dessous.

0 :16 La campagne publicitaire de Wix vise WordPress

3 :17 La base de données des utilisateurs du site PHP a été piratée lors d’une récente attaque

4 :56 La violation de données Facebook à partir de 2019 fuit plus d’un demi-milliard de données d’utilisateurs

7 :06 Have I Been Pwned ajoute une fonction de recherche téléphonique

9 h 40 Les actions GitHub sont activement utilisées pour exploiter la crypto-monnaie

11 :07 Téléphones Gigaset Android infectés par des logiciels malveillants via un serveur de mise à jour piraté

15 :15 Google Forms et Telegram abusés pour collecter des identifiants de phishing

17 :33 Defiant recrute

Retrouvez-nous sur votre application ou plateforme préférée, y compris iTunes, Google Podcasts, Spotify, YouTube, SoundCloud et Overcast.

Cliquez ici pour télécharger une version MP3 de ce podcast. Abonnez-vous à notre flux RSS.

Transcription de l’épisode 112

RAM :

Bienvenue dans Think Like a Hacker, le podcast sur WordPress, la sécurité et l’innovation. Je suis Ram Gall, analyste des menaces chez Wordfence, et avec moi je suis directrice du marketing Kathy Zant. Commençons. Qu’y a-t-il en premier, Kathy?

Kathy :

Eh bien, la première chose que j’ai remarquée cette semaine.. Eh bien, nous avons beaucoup de nouvelles, mais la première chose que j’ai remarquée, c’est cette campagne Wix qui prend un coup sur WordPress avec l’envoi de tous ces écouteurs d’influenceurs WordPress, et puis il y a tout ça campagne de marketing avec nombre de vidéos. Avez-vous jeté un coup d’œil à l’un d’entre eux, Ram?

Ram :

J’ai fait. Ils étaient un peu maladroits. En fait, j’ai un peu ri de quelques-unes des thérapies, mais elles ont été assez clairement écrites par quelqu’un qui n’a pas réellement utilisé WordPress au cours des dernières années, qui ressemble peut-être à de vieilles plaintes à propos de WordPress. S’ils couvraient vraiment ce que les gens n’aiment pas sur WordPress, ils se seraient plaints de Gutenberg.

Kathy :

Vous avez un point là. Oui. Je veux dire, c’étaient..

Ram :

Ne leur donnez aucune idée !

Kathy :

Eh bien, ils devront à nouveau recruter ces acteurs. Ils étaient plutôt grognons pour moi. Le fait est que tout le monde dans la communauté WordPress a parlé de Wix, mais je ne sais pas s’ils parlaient de Wix d’une bonne manière. Avec ces publicités si grincheuses et avec certains influenceurs qui les obtiennent et d’autres personnes qui, à mon avis, sont peut-être plus influentes sans les recevoir, ces écouteurs du tout, le marketing semblait incroyablement sourd.

Ram :

Honnêtement, les publicités qu’ils ont faites auraient été beaucoup plus efficaces pour le genre de personnes qui allaient déjà utiliser Wix au lieu de WordPress. Et je ne les vois vraiment pas travailler sur des personnes utilisant réellement WordPress.

Kathy :

vous avez une analyse de rentabilisation Cela aurait plus de sens, je pense, Wix, de s’en prendre à Squarespace ou quelque chose du genre. Traquez quelqu’un d’autre qui ne veut pas d’un système de gestion de contenu totalement flexible. Mais honnêtement, si vous voulez cibler WordPress, créer un meilleur produit, créer quelque chose qui est open source, qui a la communauté de soutien que WordPress a.

Je veux dire, il y a un certain nombre de facteurs différents qui alimentent le succès de WordPress que cette campagne Wix ne traite même pas.

Ram :

Je ne veux pas leur en donner trop… Je ne veux pas les laisser vivre sans loyer dans ma tête.

Kathy :

Oui exactement. J’ai surveillé leur sécurité, parce que, la sécurité. J’ai donc regardé la plainte de sécurité qu’ils avaient à propos de WordPress. J’étais vraiment offensé qu’ils ne nous aient même pas mentionné.

Ram :

Oui. Je veux dire, comment osent-ils?

Kathy :

Comment osent-ils? Comment osent-ils? Tu sais ce que je veux dire? Si nous voulons prendre certaines cibles, au moins frapper le plugin de sécurité numéro un dans tout l’espace WordPress, mais ils ne nous ont même pas mentionnés. Ils ont en fait mentionné tout ce que nous résolvons essentiellement pour WordPress et ont complètement raté le bateau.

Ram :

Ils ne savent même pas que WordPress effectue maintenant des mises à jour automatiques.

Kathy :

Oui exactement. Si vous voulez jouer le jeu, vous devez lire le script, je suppose.

Ram :

Exactement. Dans d’autres actualités, il y a un rappel. Vous souvenez-vous que PHP a été piraté?

Kathy :

Je m’en souviens, oui.

Ram :

C’était assez récent. Eh bien, il s’avère qu’ils ne pensent plus que c’est leur serveur Git qui a été piraté. Leur nouvelle hypothèse, et cela ne semble être qu’une hypothèse, était que c’était le système d’authentification master.php.net qui avait été piraté. Je suppose que la raison en est que dans leurs journaux, ils ont essentiellement vu très peu de demandes d’authentification échouées avant d’en avoir une réussie, comme une demande d’authentification malveillante, ce qui va à l’encontre de ce qu’ils disaient dans leur déclaration initiale selon laquelle ils ne le faisaient pas. Je ne crois pas qu’aucun compte ait été compromis.

Quoi qu’il en soit, le système d’authentification, je suppose que c’était sur un système d’exploitation et une version de PHP vraiment anciens, et ils stockaient tous leurs mots de passe avec des hachages MD5 simples, qui sont vraiment craquables.

Kathy :

À l’origine, ils ont déclaré qu’aucun compte n’avait été compromis. Mais nous étions en quelque sorte laissés dans l’ignorance de ce qui s’était réellement passé. Ce passage à GitHub était vraiment suspect et nous a en quelque sorte amenés à nous demander s’il y avait un problème avec cette installation Git particulière qu’ils utilisaient. Mais maintenant, il semble qu’il y ait eu des comptes compromis, mais nous sommes toujours en mode d’attente.

Ram :

Yeah Yeah. Ils font toujours de la criminalistique là-dessus. Encore une fois, c’est fondamentalement leur nouvelle hypothèse. Ils n’ont toujours pas de preuve solide de ce qui s’est passé ou de la façon dont cela s’est passé, devrais-je dire.

Kathy :

Je suis sûr que nous en apprendrons plus avec le temps. Le temps dit tout. Tout comme avec cette violation de données Facebook dont nous venons d’apprendre, cela se produit. C’est une ancienne violation, n’est-ce pas?

Ram :

Oui. Celui avec… S’agit-il de 533 millions de données d’utilisateurs?

Kathy :

Juste un couple.

Ram :

Oui. Je suppose que cela s’est produit en 2019, et le fait est qu’il y avait eu plusieurs violations de données sur Facebook cette année-là, mais ils n’en ont parlé à personne en partie parce qu’ils n’étaient pas encore obligés de le faire et en partie parce qu’ils ne l’avaient pas envisagé. une brèche car elle ne reposait pas tant sur un piratage que sur une fonctionnalité «non sécurisée par défaut». Vous savez ce truc où vous pouvez rechercher quelqu’un sur Facebook par son numéro de téléphone ou ajouter des amis en fonction de son numéro de téléphone?

Kathy :

Droite. J’utilisais ça tout le temps.

Ram :

Oui. Eh bien, il s’avère que vous pouvez simplement nourrir leur API uniquement avec des numéros de téléphone arbitraires. Et si vous essayez suffisamment de numéros de téléphone, vous obtiendrez les informations personnelles des personnes, y compris des éléments qui ne seraient peut-être montrés qu’à leurs amis réels. Donc, je suppose qu’ils ont simplement demandé des informations brutes basées sur les numéros de téléphone. J’imagine que c’était un peu une éraflure, mais ça n’aurait pas dû vous laisser faire ça en premier lieu.

Kathy :

Droite. Cet article de Lily Newman, Lily Hay Newman sur WIRED, elle a noté essentiellement dans le sous-titre que les explications de la société sur ce qui s’était passé ici étaient confuses et incohérentes, mais ils ont quelques réponses sur ce qui s’était passé, que vous avez illustré. Mais juste ce manque de franchise de la part de Facebook pour ne pas vraiment dire : «D’accord, voici ce qui s’est passé. Voici comment vous avez pu ou non avoir été impacté, »et être vraiment transparent sur ce qui s’est passé avec vos données que vous avez partagées avec Facebook, c’est ce qui me préoccupe le plus, mais il semble que…

Ram :

C’est à peu près essentiel pour eux. C’est comme ça qu’ils sont.

Kathy :

Vrai. Vrai. Mais on dirait que Troy Hunt est en train de prendre la relève avec Have I Been Pwned et il va aider les gens. Avez-vous lu cet article?

Ram :

Oui je l’ai fait. Maintenant, pour ceux d’entre vous qui sont de nouveaux auditeurs ou qui ne nous ont pas entendu le couvrir, Have I Been Pwned est une plate-forme d’un chercheur en sécurité en Australie, Troy Hunt, qui collecte essentiellement des informations sur les violations de données et a mis au point un système sécurisé. moyen pour vous de vérifier si votre mot de passe a été compromis lors d’une violation de données sans lui envoyer réellement votre mot de passe. Mais il a également fait la même chose pour les numéros de téléphone qui ont également été impliqués dans cette violation de données Facebook.

Vous pouvez chercher pour voir si votre numéro de téléphone a été compromis dans cette dernière, eh bien, violation de grattage, peu importe comment vous voulez l’appeler, la divulgation non autorisée de vos informations personnelles.

Kathy :

Nous aurons un lien dans les notes de l’émission où vous pouvez aller à Have I Been Pwned et vous pouvez aller chercher votre numéro de téléphone et voir si vous êtes concerné. Une chose que j’ai vu quelqu’un juste dans les commentaires sur Twitter dire, c’est qu’il est préoccupé par les tentatives d’ingénierie sociale qui pourraient cibler des individus à cause de toutes ces informations très personnelles qui se sont retrouvées sur le dark web.

Que si vous êtes ciblé par quelqu’un et qu’il dispose d’un certain nombre d’informations personnellement identifiables à votre sujet, cela donne l’impression qu’il s’agit vraiment d’un demandeur authentique de plus d’informations ou de mots de passe ou d’informations d’identification de votre part pour être extrêmement suspect en ce moment à cause de tout cela étant dumpé sur le dark web.

Ram :

Cela a toujours été une sorte de menace des médias sociaux tant qu’il y a quelque chose qui ressemble aux médias sociaux. Comme même ces vieux quiz du genre « Hé, dans quelle rue as-tu grandi? » C’est comme, hé, beaucoup de ces questions sont mes questions de réinitialisation de mot de passe, ce qui est une autre raison pour laquelle vous ne devriez pas utiliser de questions de réinitialisation de mot de passe, car il ne s’agit pas en fait d’une authentification à deux facteurs ou multifactorielle. Il s’agit simplement de quelque chose que vous connaissez et que vous risquez d’oublier, mais quelqu’un d’autre peut les rechercher très facilement.

Kathy :

Exactement. Que pensez-vous du fait que les numéros de téléphone sont une si grande partie de cela? Que pensez-vous de l’utilisation de votre numéro de téléphone SMS, de votre numéro de téléphone portable, pour une authentification à deux facteurs maintenant, Ram?

Ram :

Ooh, d’accord. Mark a cette chose qu’il dit toujours sur la façon dont les numéros de sécurité sociale sont essentiellement le mot de passe que vous ne pouvez jamais changer. Mais d’une certaine manière, les numéros de téléphone deviennent en quelque sorte le nom d’utilisateur que vous ne pouvez jamais changer. Comme oui, vous pouvez changer votre numéro de téléphone, mais de nombreuses parties de votre identité numérique sont directement liées à votre numéro de téléphone. Et même si vous pouvez utiliser un mot de passe à usage unique basé sur le temps ou une authentification basée sur le port comme deuxième facteur, au départ, lorsque vous configurez des choses, tant de choses nécessitent simplement votre numéro de téléphone pour la vérification initiale.

Ce n’est même pas drôle. C’est essentiellement qui vous êtes. Si vous vous inscrivez à un service de messagerie alternatif, Signal, Telegram, tous utilisent votre numéro de téléphone, c’est le nom d’utilisateur que vous ne pouvez jamais changer.

Kathy :

Il est. Il est. Notre prochaine histoire concerne les actions GitHub qui sont activement utilisées pour exploiter la crypto-monnaie. Que se passe t-il ici?

Ram :

Eh bien, c’est notre sujet de crypto-monnaie obligatoire de la semaine. C’est parce que les attaquants continuent d’essayer de gagner de l’argent et la crypto-monnaie est un moyen très pratique pour eux d’utiliser les ordinateurs d’autres personnes pour le faire. Ce genre de rappel à quelque chose que nous avons couvert dans un podcast précédent, mais fondamentalement, les actions GitHub sont un moyen d’automatiser. Lorsque vous êtes développeur et que vous souhaitez déployer un nouveau code, vous pouvez configurer ces éléments pour l’envoyer automatiquement à vos serveurs via les actions GitHub.

Quoi qu’il en soit, les attaquants ont compris qu’ils pouvaient copier la base de code de quelqu’un d’autre qui avait ces configurations et ajouter un cryptominer, puis envoyer une demande pour la réintégrer dans leur code. Et l’autre personne n’a même pas eu à accepter. GitHub regardait simplement la demande et disait: «Oh, hé, je devrais exécuter ce cryptominer», et maintenant il y a des cryptomineurs fonctionnant sur des serveurs GitHub. Ce qui n’est probablement pas génial, et je suis sûr qu’ils travaillent très dur pour y mettre fin, mais.

Kathy :

Ouais, sournois. Mais je pense que nous allons voir de plus en plus de choses sournoises avec la crypto-monnaie si elle continue d’augmenter en valeur. Nous l’avons vu en 2017 lorsque la valeur de la crypto-monnaie a augmenté. Nous avons eu des choses comme…

Ram :

C’était énorme. C’est comme des mineurs JavaScript partout et comme des cryptomineurs malveillants ajoutés aux plugins de référentiel WordPress.

Kathy :

Exactement.

Ram :

Et en parlant de mises à jour de la chaîne d’approvisionnement.

Kathy :

Oui. Que se passe-t-il avec Gigaset?

Ram :

Gigaset est un fabricant allemand de téléphones Android. Ils étaient Siemens. Ils fabriquaient beaucoup de vieux téléphones stupides. Je suppose qu’ils étaient l’un des plus grands au monde, mais maintenant ils fabriquent toujours des téléphones Android. Seulement, je n’en avais pas vraiment entendu parler avant cet article de presse, donc je suppose qu’ils ne sont vraiment importants qu’en Allemagne. Quoi qu’il en soit, il semble que des attaquants aient compromis les serveurs de mise à jour du téléphone et envoyé des mises à jour malveillantes à un groupe de téléphones Gigaset Android.

Et une fois que ces mises à jour ont été téléchargées et installées automatiquement, il semble que les téléphones ouvriraient automatiquement les navigateurs Web pour accéder à des sites Web malveillants ou afficher des publicités pour des jeux mobiles, ce qui semble être une chose assez populaire pour les acteurs malveillants sommaires à monétiser.

Kathy :

En tant qu’utilisateur, si j’avais un téléphone Gigaset, un téléphone Android, ce que je n’ai pas, parce que je n’en ai pas, y aurait-il eu une action que j’aurais prise pour infecter essentiellement mon téléphone, ou est-ce quelque chose qui montre simplement et il commence à agir de manière erratique de cette façon?

Ram :

D’après tout ce que j’ai pu découvrir, il semble que ce soit quelque chose qui vient de se passer. Oui, pour les mises à jour système réelles, vous devez généralement les appliquer manuellement. Mais pour de nombreuses autres mises à jour logicielles, il suffit de mettre à jour automatiquement une application sur votre téléphone, y compris certains des services de base. Et il semble que c’est ce qu’ils ciblaient dans ce cas.

Kathy :

Je t’ai eu. Et il semble que Malwarebytes soutient les propriétaires de Gigaset sur leurs forums et dispose d’une véritable signature où ils détectent cette variante de malware particulière qui est expulsée à travers la chaîne d’approvisionnement.

Ram :

Ce qui est bon. Très bon. Mais il n’y a rien que les utilisateurs auraient pu vraiment faire pour empêcher que cela se produise, à part le root de leur téléphone et la désactivation de cette application de mise à jour automatique. Et c’est un peu le contraire de la manière sécurisée de faire les choses pour la plupart des gens, donc je ne le recommanderais pas. Cela montre simplement que les attaques de la chaîne d’approvisionnement ne vont pas seulement attaquer les gouvernements, les entreprises et les infrastructures. N’importe qui peut être victime d’une attaque de la chaîne d’approvisionnement.

Kathy :

Droite. Et votre vie numérique touche tant de codes différents de développeurs de logiciels, n’est-ce pas? Je veux dire, vous avez votre téléphone, que vous utilisiez Apple ou Android, chaque application qui s’y trouve est créée par un développeur de logiciel. Il existe certains contrôles à certains endroits, mais chaque logiciel pourrait éventuellement être touché par une attaque de la chaîne d’approvisionnement. Si vous le mettez à jour, vous le mettez à jour à partir d’un serveur et ce serveur pourrait être compromis.

Ram :

Vous devriez toujours mettre à jour. Vous devez toujours absolument mettre à jour, car les chances qu’une vulnérabilité soit corrigée et qu’une mise à jour la corrige sont toujours beaucoup plus élevées qu’un attaquant de la chaîne d’approvisionnement mettant du code malveillant dans une mise à jour pour la plupart. Il apparaît clairement que certains fournisseurs examinent beaucoup plus leur code que d’autres.

Kathy :

Oui bien sûr. Mais en tant qu’utilisateur final, il est simplement important de… Que vous soyez un utilisateur final de WordPress ou un téléphone ou des applications sur votre ordinateur, il est bon de toujours être au courant des mises à jour que vous appliquez. Et si quelque chose se produit, c’est un comportement erratique et inattendu après une mise à jour, il suffit d’être conscient que des attaques de la chaîne d’approvisionnement se produisent et d’enquêter plus avant si quelque chose de funky se produit.

Ram :

Nous ne disons pas avoir peur tout le temps parce que c’est super contre-productif. Gardez simplement à l’esprit que c’est une chose qui peut arriver et ne paniquez pas. Faites des recherches sur ce qu’il faut pour le réparer, car il peut être différent à chaque fois. Mais dans ce cas, il semble que ce qu’il faut pour le réparer est d’éteindre le téléphone jusqu’à ce qu’il le pince à la source, puis d’essuyer votre téléphone et de tout réinstaller.

Kathy :

Ew ! Cela ne semble pas amusant.

Ram :

Je veux dire, j’avais l’habitude de bricoler beaucoup avec les téléphones Android, donc c’était un peu comme un événement hebdomadaire pour moi à l’époque.

Kathy :

Je t’ai eu.

Ram :

C’est ainsi que j’ai appris Linux.

Kathy :

Ah bon?

Ram :

Oui.

Kathy :

Wow ! Amusant. Eh bien, oui, ça a du sens. Qu’avons-nous avec le phishing? Le phishing évolue et commence à cibler les gens par d’autres méthodes, pas seulement par e-mail ou SMS.

Ram :

Ils utilisent des robots Telegram pour envoyer des demandes de phishing à des personnes sur Telegram, puis collectent ces informations via Google Forms. Les manuels de sécurité continuent à proposer des noms étranges pour fondamentalement la même technique sur un autre nouveau support. Et c’est comme virer et tourner dans un autre nom qui sonne maladroit qui semble vaguement inconfortable. Et c’est comme si ce n’était que du phishing, mec.

Kathy :

C’est vrai. Ouais, c’est…

Ram :

Ils trouveront probablement un nom pour cela comme Telegrimming.

Kathy :

Telegrimming?

Ram :

Je ne sais pas.

Kathy :

Telegrimming, inventé par Ram Gall.

Ram :

Avez-vous reçu Telegrimmed?

Kathy :

Ils disent que ce sont les analystes du groupe IB qui ont enquêté sur cette question, et ils disent que ce n’est qu’environ 6% du phishing qu’ils ont constaté. Mais ces leurres qui…

Ram :

C’est beaucoup.

Kathy :

Je pense que ça va grandir. Je pense que cela va augmenter car les gens sont beaucoup plus conscients du phishing par e-mail ou SMS, et les personnes qui utilisent des outils comme Google, Gmail filtre essentiellement tous les messages de phishing. Je ne les vois jamais. Ils vont devoir faire preuve de créativité, tout comme tous les cryptomineurs doivent faire preuve de créativité. Et ils utilisent 260 marques uniques différentes comme leurres de phishing, des outils en ligne pour examiner des documents, des achats en ligne, des services de streaming, des clients de messagerie, des organisations financières. Ils ciblent principalement les produits Microsoft, PayPal, Google et Yahoo.

Je suis juste comme, « Oh ouais. D’accord. Je vois ça. Je vous vois des hameçonneurs ! »

Ram :

Et tu sais quoi? Si quelqu’un vous envoie un message de phishing sur Telegram avec des informations personnelles qu’il a probablement collectées lors d’une violation de données Facebook, je veux dire, je dis simplement que cela semble probable..

Kathy :

Oui, c’est vrai. Cela semble être une façon créative de mettre les choses ensemble afin d’attaquer des personnes involontaires sur Telegram. Beaucoup de plaisir. C’est ce qui nous tient occupés, en gardant un œil sur ces gens occupés. Et nous sommes tellement occupés que nous embauchons. Nous avons un certain nombre de postes ouverts. Nous recherchons quelqu’un qui est un responsable des opérations de sécurité, un responsable des opérations de sécurité.

Ram :

Si vous aimez beaucoup AWS et que vous aimez beaucoup la sécurité, vous devriez totalement appliquer.

Kathy :

Oui définitivement. Nous recherchons également des développeurs PHP. Nous venons d’ouvrir un nouveau poste d’ingénieur QA, et nous sommes toujours à la recherche du candidat idéal pour effectuer des recherches sur les performances du site Web. Toutes ces descriptions de poste seront liées dans les notes de l’émission si l’une d’entre elles semble intéressante. Je sais que nos avantages vous sembleront intéressants. Alors allez jeter un œil. Et si vous souhaitez rejoindre notre équipe et vous amuser avec nous, veuillez postuler. Nous serions ravis de vous parler et nous vous reparlerons la semaine prochaine.

Ram :

Ouais. Je vous verrai la semaine prochaine, et c’est toujours un plaisir.

Kathy :

Toujours un plaisir. Merci beaucoup, Ram. Nous vous parlerons plus tard.

Ram :

Au revoir.

Kathy :

Au revoir.

Vous pouvez trouver Wordfence sur Twitter, Facebook, Instagram. Vous pouvez également nous trouver sur YouTube, où nous avons notre Wordfence Live hebdomadaire les mardis à midi, heure de l’Est, à 9h00 du Pacifique.

Tags: ,