Một lỗ hổng nguy hiểm trong một plugin WordPress phổ biến có thể cho phép tin tặc chiếm quyền điều khiển các trang web tiền điện tử của người dùng. Lỗ hổng này có khả năng tạo ra cơ hội cho các đối tượng độc hại chèn các trang câu mồi, liên kết ví giả mạo và chuyển hướng độc hại.
Mặc dù lỗi này không ảnh hưởng đến hệ thống backend của ví hoặc các hợp đồng Token, nhưng nó lại phơi bày cơ sở hạ tầng Front-End mà người dùng dựa vào để an toàn tương tác với các dịch vụ tiền điện tử. Mặc dù plugin đã được vá, nhưng vẫn còn hàng chục nghìn trang web không được bảo vệ, vẫn đang chạy các phiên bản lỗi thời.
Tiềm năng lừa đảo của Plugin WordPress
Tội phạm tiền điện tử đang ở mức cao hiện nay, và nhiều vector bất ngờ có thể tạo ra các cuộc tấn công lừa đảo mới. Ví dụ, một báo cáo gần đây từ Patchstack, một công ty an ninh số, tiết lộ một exploit WordPress mới có thể tạo ra các vụ lừa đảo tiền điện tử mới.
"Plugin Post SMTP, với hơn 400.000 lượt cài đặt, là một plugin gửi email. Ở các phiên bản 3.2.0 trở xuống, plugin có lỗ hổng Kiểm soát Truy cập Hỏng ở các điểm cuối REST API... cho phép bất kỳ người dùng đã đăng ký nào (kể cả người dùng cấp Subscriber không có bất kỳ đặc quyền nào) thực hiện nhiều hành động," báo cáo cho biết.
Các chức năng này bao gồm: xem thống kê số lượng email, gửi lại email và xem nhật ký email chi tiết, bao gồm toàn bộ nội dung email.
Một hacker WordPress có thể sử dụng lỗ hổng này để đánh chặn email đặt lại mật khẩu, có khả năng giành quyền kiểm soát các tài khoản quản trị.
Nhiều Mục Tiêu trong Tiền Điện Tử
Vậy, làm thế nào lỗ hổng WordPress này có thể dẫn đến các vụ lừa đảo tiền điện tử? Thật không may, các khả năng là gần như vô hạn. Các email hỗ trợ khách hàng giả mạo đã rất hiệu quả trong nhiều nỗ lực câu mồi gần đây, vì vậy việc kiểm soát email hạn chế đã rất nguy hiểm.
Một trang web bị xâm nhập sử dụng WordPress có thể chèn các Token giả và trang web lừa đảo vào các liên kết bên ngoài bằng các script độc hại và chuyển hướng.
Tin tặc có thể thu thập mật khẩu và cố gắng sử dụng chúng trên danh sách các sàn giao dịch. Họ thậm chí có thể chèn phần mềm độc hại vào mọi người dùng mở một trang nhất định.
Các Ví của Tôi Có An Toàn Không?
Về mặt bề ngoài, hầu hết các ví tiền điện tử và nền tảng Token không sử dụng WordPress cho cơ sở hạ tầng chính. Tuy nhiên, nó thường được sử dụng cho các chức năng phía người dùng như trang chủ và hỗ trợ khách hàng.
Nếu một dự án nhỏ hoặc mới mà không có đội ngũ kỹ thuật vững chắc bị xâm nhập, các vi phạm bảo mật có thể không được phát hiện. Các tài khoản WordPress bị nhiễm có thể thu thập thông tin người dùng cho các vụ lừa đảo trong tương lai hoặc trực tiếp chuyển hướng khách hàng đến các nỗ lực câu mồi.
Làm Thế Nào để Được Bảo Vệ
May mắn thay, Patchstack đã nhanh chóng phát hành bản sửa lỗi cho lỗ hổng cụ thể này. Nhưng hơn 10% người dùng Post SMTP chưa cài đặt nó. Điều đó có nghĩa là khoảng 40.000 trang web vẫn dễ bị khai thác, đại diện cho một rủi ro bảo mật lớn.
Những người dùng tiền điện tử tinh ranh nên bình tĩnh và thực hành các biện pháp bảo mật tiêu chuẩn. Đừng tin vào các liên kết email ngẫu nhiên, hãy gắn bó với các dự án đáng tin cậy, sử dụng các ví phần cứng, v.v. Trách nhiệm lớn nhất thuộc về các nhà điều hành trang web.
Nếu một dự án tiền điện tử nhỏ chạy một trang WordPress mà không tải xuống bản sửa lỗi của Patchstack, tin tặc có thể sử dụng nó để tạo ra một danh sách vô tận các vụ lừa đảo. Nói ngắn gọn, người dùng tiền điện tử sẽ an toàn miễn là họ thận trọng với các dự án không chính thống.
