Прошли времена, когда сайты взламывали ради спортивного интереса. Сейчас главная цель — это заработок, причем не на хлеб с маслом, а на спорткар (прибыль исчисляется десятками, а то и сотнями тысяч долларов в месяц). Поэтому многие опытные программисты переходят на «темную сторону».
Деньги зарабатывают с помощью кражи и продажи конфиденциальных данных, впаривания фальшивых программ, эксплуатации аппаратных ресурсов пользователя, вымогательства и шантажа.
В процессе взлома и эксплуатации взломанного ресурса участвует несколько групп людей: разработчики вредоносного кода, продавцы и арендаторы вредоносного ПО, хакеры, вебмастеры. В центре этого винегрета находится сайт, являющийся площадкой для распространения вредоносного ПО. И чем больше и платежеспособнее аудитория сайта, тем привлекательнее он для хакера.
В зону риска в основном попадают сайты с посещаемостью от нескольких тысяч человек в сутки. А уж на счет сайтов с десятками и сотнями тысяч посетителей не приходится сомневаться. Хакер сделает все возможное, чтобы укрепиться на высокопосещаемых серверах. «Мелочевку» также взламывают, но используют, обычно, в качестве промежуточных звеньев или вспомогательных инструментов взлома крупных сайтов.
Рассмотрим в общих чертах процедуру взлома, заражения сайта и последствия. После взлома на страницах сайта размещается вредоносный код, который загружается определенным группам пользователей (или всем подряд). Данный вредоносный код через уязвимость в приложении или плагине браузера заражает операционную систему. Вредоносный код может
- превратить компьютер пользователя в боевую единицу ботнета,
- красть пароли и др. конфиденциальную информацию,
- показывать пользователю рекламу,
- шантажировать пользователя,
- впаривать ему лжесофт, наподобие очередного суперантивируса или мегаускорителя интернета и т.п.
Данная схема реализуется посредством размещения на страницах взломанного сайта iframe или javascript кода, в котором, через серию редиректов, выполняется загрузка вредоносного кода (на хакерском жаргоне это называется «лить трафик на связки»).
Часто на взломанном сайте кроме iframe/js появляется мобильный редирект. Данный вид бизнеса расцвел в тот момент, когда появились партнерские программы, щедро выкупающие посетителей, приходящих с мобильных платформ. Выкупленным посетителям партнерки демонстрируют рекламу или засылают вредоносный код на мобильное устройство.
Еще один популярный вариант эксплуатации взломанного сайта с ненулевыми показателями PR и тИЦ — это SEO-паразитирование. За счет взломанных сайтов поднимают SEO показатели другим сайтам, а затем на них продают ссылки/статьи или используют для распространения вредоносного ПО. Наиболее частый вариант SEO-паразитирования — это размещение невидимых ссылки, рекламных статей или дорвеев на несколько тысяч страниц.
К сожалению, в подавляющем большинстве случаев, вопросами безопасности сайта и защиты от взлома владельцы сайта начинают заниматься слишком поздно, по сути уже по факту взлома. Отсутствие осведомленности владельца сайта о существовании проблемы информационной безопасности, уязвимостях на сайте и последствиях взлома может навредить как бизнесу владельца сайта в целом, так и посетителям сайта в частности. Поэтому наша рекомендация — осознать данную проблему и провести мероприятия по усилению защиты сайта заблаговременно.