ช่องโหว่ที่สำคัญในปลั๊กอิน WordPress ยอดนิยมสามารถทำให้แฮกเกอร์เข้าควบคุมเว็บไซต์คริปโตที่ผู้ใช้เข้าถึงได้ ช่องโหว่นี้อาจเปิดโอกาสให้ผู้ไม่หวังดีแทรกหน้าเว็บฟิชชิ่ง ลิงก์กระเป๋าเงินปลอม และการเปลี่ยนเส้นทางที่เป็นอันตราย
แม้ว่าข้อบกพร่องนี้จะไม่ส่งผลต่อระบบหลังบ้านของกระเป๋าเงินหรือสัญญาโทเค็น แต่ก็เปิดเผยโครงสร้างพื้นฐานด้านหน้า ที่ผู้ใช้พึ่งพาในการโต้ตอบกับบริการคริปโตอย่างปลอดภัย แม้ว่าปลั๊กอินจะได้รับการแก้ไขแล้ว แต่ยังมีเว็บไซต์หลายหมื่นแห่งที่ยังไม่ได้รับการป้องกัน โดยใช้เวอร์ชันที่ล้าสมัย
ศักยภาพการหลอกลวงของปลั๊กอิน WordPress
อาชญากรรมคริปโต พุ่งสูงขึ้นในขณะนี้ และ มีช่องทางที่ไม่คาดคิดมากมายที่สามารถ นำไปสู่การโจมตีหลอกลวงใหม่ ตัวอย่างเช่น รายงานล่าสุดจาก Patchstack บริษัทด้านความปลอดภัยดิจิทัล เปิดเผยการโจมตี WordPress ใหม่ที่อาจทำให้เกิดการหลอกลวงคริปโตใหม่ได้
ปลั๊กอิน Post SMTP ซึ่งมีการติดตั้งกว่า 400,000 ครั้ง เป็นปลั๊กอินการส่งอีเมล ในเวอร์ชัน 3.2.0 และต่ำกว่า ปลั๊กอินมีช่องโหว่หลายประการใน REST API endpoints…ทำให้ผู้ใช้ที่ลงทะเบียนใดๆ (รวมถึงผู้ใช้ระดับ Subscriber ที่ไม่ควรมีสิทธิ์ใดๆ) สามารถดำเนินการต่างๆ ได้
ฟังก์ชันเหล่านี้รวมถึง: การดูสถิติการนับอีเมล การส่งอีเมลซ้ำ และการดูบันทึกอีเมลโดยละเอียด รวมถึงเนื้อหาอีเมลทั้งหมด
แฮกเกอร์ WordPress สามารถใช้ช่องโหว่นี้เพื่อดักจับอีเมลรีเซ็ตรหัสผ่าน ซึ่งอาจทำให้สามารถควบคุมบัญชีผู้ดูแลระบบได้
หลายเป้าหมายในคริปโต
แล้วช่องโหว่ WordPress นี้จะนำไปสู่การหลอกลวงคริปโตได้อย่างไร? น่าเสียดายที่ความเป็นไปได้แทบจะไม่มีที่สิ้นสุด อีเมลสนับสนุนลูกค้าปลอมได้ มีบทบาทสำคัญในความพยายามฟิชชิ่งล่าสุดหลายครั้ง ดังนั้นการควบคุมอีเมลที่จำกัดจึงเป็นอันตรายอยู่แล้ว
เว็บไซต์ที่ถูกโจมตีโดยใช้ WordPress สามารถ แทรกโทเค็นปลอมและเว็บไซต์หลอกลวง ลงในลิงก์ภายนอกโดยใช้สคริปต์ที่เป็นอันตรายและการเปลี่ยนเส้นทาง
แฮกเกอร์สามารถเก็บเกี่ยวรหัสผ่านและพยายามใช้กับรายการการแลกเปลี่ยน พวกเขาอาจฉีดมัลแวร์เข้าไปในผู้ใช้ทุกคนที่เปิดหน้าเว็บบางหน้า
กระเป๋าเงินของดิฉันปลอดภัยไหม
ในเบื้องต้น กระเป๋าเงินคริปโตและแพลตฟอร์มโทเค็นส่วนใหญ่ไม่ได้ใช้ WordPress สำหรับโครงสร้างพื้นฐานหลัก อย่างไรก็ตาม มักใช้สำหรับฟังก์ชันที่ผู้ใช้เข้าถึง เช่น หน้าแรกและการสนับสนุนลูกค้า
หากโครงการขนาดเล็กหรือใหม่ที่ไม่มีทีมวิศวกรรมที่แข็งแกร่งถูกโจมตี การละเมิดความปลอดภัยอาจไม่ถูกตรวจพบ บัญชี WordPress ที่ติดไวรัสอาจรวบรวมข้อมูลผู้ใช้สำหรับการหลอกลวงในอนาคตหรือส่งตรงลูกค้าไปยังการพยายามฟิชชิ่ง
วิธีป้องกันตัวเอง
โชคดีที่ Patchstack ได้ปล่อยการแก้ไขสำหรับบั๊กนี้อย่างรวดเร็ว แต่มีผู้ใช้ Post SMTP มากกว่า 10% ที่ยังไม่ได้ติดตั้ง นั่นหมายความว่ามีเว็บไซต์ประมาณ 40,000 แห่งที่ยังเสี่ยงต่อการถูกโจมตี ซึ่งเป็นความเสี่ยงด้านความปลอดภัยที่ใหญ่หลวง
ผู้ใช้คริปโตที่มีความรู้ควรสงบและปฏิบัติตามมาตรการความปลอดภัยมาตรฐาน อย่าเชื่อมโยงอีเมลแบบสุ่ม ยึดติดกับโครงการที่เชื่อถือได้ ใช้กระเป๋าเงินฮาร์ดแวร์ เป็นต้น ความรับผิดชอบที่ใหญ่ที่สุดอยู่ที่ผู้ดำเนินการเว็บไซต์เอง
หากโครงการคริปโตขนาดเล็กดำเนินการเว็บไซต์ WordPress โดยไม่ดาวน์โหลดการแก้ไขบั๊กของ Patchstack แฮกเกอร์อาจใช้มันเพื่อสร้างรายการหลอกลวงที่ไม่มีที่สิ้นสุด กล่าวโดยย่อ ผู้ใช้คริปโตควรปลอดภัยตราบใดที่พวกเขาระมัดระวังกับโครงการที่ไม่ใช่กระแสหลัก
ข้อจำกัดความรับผิด
หมายเหตุบรรณาธิการ: เนื้อหาต่อไปนี้ไม่ได้สะท้อนถึงมุมมองหรือความคิเห็นของ BeInCrypto มันจัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลเท่านั้นและไม่ควรถูกตีความว่าเป็นคำแนะนำทางการเงิน กรุณาทำการวิจัยของคุณเองก่อนที่จะทำการตัดสินใจลงทุนใดๆ