Cybercriminelen bieden 'wonder-producten' aan via gehackte subdomeinen

15.000 subdomeinen die gewichtsverliesproducten en andere ‘wonder-producten’ promootten zijn onlangs door Palo Alto Networks en GoDaddy verwijderd. De websites probeerden miljoenen consumenten te overtuigen om producten te kopen die zogenaamd door beroemdheden als Stephan Hawking, Jennifer Lopez en Gwen Stefani werden aangeraden.

De besmette sites werden ontdekt in een onderzoek door Palo Alto Networks Unit 42-onderzoeker Jeff White. Hij onderzocht een enorme campagne waarin affiliate marketeers consumenten naar sites leidden om ze vervolgens, vaak onbewust, een duur abonnement te laten nemen op de wonderproducten die ze verkochten. White ontdekte het netwerk na opvallende visuele overeenkomsten te hebben opgemerkt in templates die werden gebruikt om websites te bouwen. Deze websites verkochten ogenschijnlijk niet-gerelateerde goederen: van dieetpillen en ‘brain boosters’ tot CBD-olie.

Gecompromitteerde accounts

GoDaddy onderzocht de bevindingen van Unit 42 en ontdekte dat de sites naar subdomeinen van honderden klanten verwezen. De accounts van deze klanten waren gecompromitteerd waarbij inloggegevens op straat kwamen te liggen. De hackers hebben hoogstwaarschijnlijk toegang gekregen tot de inloggegevens via phishing-mails en 'credential stuffing'. Bij dat laatste stelen de hackers de inloggegevens van de ene site en gebruiken deze voor toegang tot de ander. Bij credential stuffing gebruik je dezelfde wachtwoorden om meerdere accounts te beveiligen.

GoDaddy heeft in maart de gecompromitteerde subdomeinen gesloten, waarbij getroffen klanten werden gevraagd direct hun wachtwoord opnieuw in te stellen. GoDaddy heeft meteen gemeld dat een beveiligingsactie was ondernomen.

Advies

Het bedrijf adviseert gebruikers op hun hoede te zijn voor vergelijkbare online oplichting, met name wanneer ze overwegen om goederen te kopen die via e-mail worden gepromoot. Gebruikers doen er volgens het bedrijf goed aan onderzoek te doen naar alle producten die via e-mail of online advertenties op de markt worden gebracht om te bepalen of deze legitiem zijn. De producten uit het onderzoeksrapport van White hadden allemaal meerdere slechte recensies die gemakkelijk online te vinden waren. Een goede vuistregel is het oude adagium "als het te mooi klinkt om waar te zijn, is dat het waarschijnlijk ook”.

Om te voorkomen dat accounts in de toekomst in gevaar worden gebracht, raadt Palo Alto Networks gebruikers aan om al hun accounts te beveiligen met unieke, sterke wachtwoorden en twee-factor-authenticatie te implementeren wanneer dat kan.

Rapport

Unit 42 heeft een rapport over het onderzoek gepubliceerd, waarin White beschrijft hoe hij het netwerk ontdekte. Zo vertelt hij hoe hij twee jaar lang de affiliate marketing indook, hoe hij de netwerkinfrastructuur in kaart bracht en de schadelijke subdomeinen blootlegde die hij later meldde bij GoDaddy.