Một lỗ hổng WordPress âm thầm có thể là vụ khai thác tiền điện tử lớn tiếp theo

Một lỗ hổng nghiêm trọng trong một plugin WordPress phổ biến có thể cho phép tin tặc chiếm quyền kiểm soát các trang web tiền điện tử hướng tới người dùng. Lỗ hổng này có thể tạo cơ hội cho các tác nhân độc hại chèn các trang lừa đảo, liên kết ví giả và chuyển hướng độc hại.

Mặc dù lỗ hổng này không ảnh hưởng đến các hệ thống ví hoặc hợp đồng token, nhưng nó làm lộ hạ tầng giao diện mà người dùng dựa vào để tương tác an toàn với các dịch vụ tiền điện tử. Mặc dù plugin đã được vá lỗi, hàng chục nghìn trang web vẫn chưa được bảo vệ, đang chạy các phiên bản cũ.

Khả năng lừa đảo của một plugin WordPress

Tội phạm tiền điện tử đang tăng cao, và nhiều phương thức không ngờ tới có thể dẫn đến các cuộc tấn công lừa đảo mới. Ví dụ, một báo cáo gần đây từ Patchstack, một công ty bảo mật số, tiết lộ một lỗ hổng WordPress mới có thể cho phép các vụ lừa đảo tiền điện tử mới.

“Plugin Post SMTP, có hơn 400,000 lượt cài đặt, là một plugin gửi email. Trong các phiên bản 3.2.0 trở xuống, plugin này dễ bị tổn thương bởi nhiều lỗ hổng Kiểm soát Truy cập Bị Phá vỡ trong các điểm cuối REST API của nó… cho phép bất kỳ người dùng đã đăng ký nào (bao gồm cả người dùng cấp Subscriber, những người không nên có bất kỳ quyền nào) thực hiện nhiều hành động khác nhau,” báo cáo cho biết.

Các chức năng này bao gồm: xem thống kê số lượng email, gửi lại email và xem chi tiết nhật ký email, bao gồm toàn bộ nội dung email.

Một hacker WordPress có thể sử dụng lỗ hổng này để chặn email đặt lại mật khẩu, có thể chiếm quyền kiểm soát các tài khoản quản trị viên.

Nhiều mục tiêu trong crypto

Vậy, lỗ hổng WordPress này có thể dẫn đến các vụ lừa đảo tiền điện tử như thế nào? Đáng tiếc, khả năng là vô tận. Email hỗ trợ khách hàng giả đã đóng vai trò quan trọng trong nhiều cuộc tấn công lừa đảo gần đây, vì vậy việc kiểm soát email hạn chế đã là nguy hiểm.

Một trang web bị xâm nhập sử dụng WordPress có thể chèn các token giả và trang web lừa đảo vào các liên kết bên ngoài bằng cách sử dụng các script độc hại và chuyển hướng.

Tin tặc có thể thu thập mật khẩu và cố gắng sử dụng chúng trên danh sách các sàn giao dịch. Họ thậm chí có thể chèn phần mềm độc hại vào mọi người dùng mở một trang nhất định.

Ví của tôi có an toàn không?

Bề ngoài, hầu hết các ví tiền điện tử và nền tảng token không sử dụng WordPress cho hạ tầng cốt lõi của họ. Tuy nhiên, nó thường được sử dụng cho các chức năng hướng tới người dùng như trang chủ và hỗ trợ khách hàng.

Nếu một dự án nhỏ hoặc mới không có đội ngũ kỹ thuật vững chắc bị xâm nhập, các vi phạm bảo mật có thể không được phát hiện. Các tài khoản WordPress bị nhiễm có thể thu thập thông tin người dùng cho các vụ lừa đảo trong tương lai hoặc trực tiếp hướng khách hàng đến các cuộc tấn công lừa đảo.

Cách để bảo vệ bản thân

May mắn thay, Patchstack đã nhanh chóng phát hành bản vá cho lỗi này. Nhưng hơn 10% người dùng Post SMTP chưa cài đặt bản vá. Điều đó có nghĩa là khoảng 40,000 trang web đang dễ bị khai thác, đại diện cho một rủi ro bảo mật lớn.

Người dùng tiền điện tử thông minh nên giữ bình tĩnh và thực hiện các biện pháp bảo mật tiêu chuẩn. Đừng tin vào các liên kết email ngẫu nhiên, gắn bó với các dự án đáng tin cậy, sử dụng ví cứng, v.v. Trách nhiệm lớn nhất thuộc về chính các nhà điều hành trang web.

Nếu một dự án tiền điện tử nhỏ chạy một trang WordPress mà không tải xuống bản vá lỗi của Patchstack, tin tặc có thể sử dụng nó để thực hiện một danh sách vô tận các vụ lừa đảo. Tóm lại, người dùng tiền điện tử nên an toàn miễn là họ cẩn thận với các dự án không chính thống.