Как воруют пароли от PayPal

Социальная инженерия — сильная штука, и ее злонамеренное использование может привести к утрате Вами пароля от Вашего аккаунта PayPal. В один прекрасный день (утром 18 октября 2015 года) я получил такое письмо:
воровство аккаунта PayPal

Текст письма:
«Security info replacement !
Someone started a process to replace all of the security info for the PayPal account.
If this was you, you can safely ignore this email. Your security info will be replaced with RC7082067332 when the 48 Hours waiting period is over. If this wasn’t you, someone else might be trying to take over your account.«

Атрибуты письма:
воровство аккаунта PayPal

Как видим, адрес отправителя «service@intl.paypal.com» <paypal@account.com>. Фишинг распознать довольно трудно, так как подделан и официальный стиль PayPal.
Но в исходном коде письма есть интересный момент:
«Received-SPF: fail (google.com: domain of paypal@account.com does not designate 209.213.221.233 as permitted sender) client-ip=209.213.221.233;»
SPFSender Policy Framework.
Посмотрим, что за айпишник 209.213.221.233:
Reliance Globalcom Services, Inc RGS-BLK1 (NET-209-213-192-0-1) 209.213.192.0 — 209.213.223.255
ApplicationX, Inc. YIPS-APPX-S082103 (NET-209-213-221-0-1) 209.213.221.0 — 209.213.221.255
Теперь самое интересное!
Если нажать на кнопку в тексте письма, то осуществляется переход по адресу http://bookaffordablehousing.com/. Заголовок этого сайта — Cartasi: Carte di credito per privatie aziende (такой же заголовок и на сайте www.cartasi.it), в Google ссылка на этот сайт снабжена заголовком Commerzbank, а при просмотре сохраненной копии мы видим:
Commerzbank AG
Получается что, раньше эта была фишинговая страница для банка Commerzbank AG | D-60261 Frankfurt am Main.
Домен BOOKAFFORDABLEHOUSING.COM зарегистрирован в GODADDY.COM, LLC 28 марта 2015 года. По информации на https://in.linkedin.com/in/bookaffordablehousing этот сайт принадлежит индийской компании Book Affordable Housing.

В нынешний код страницы на этом сайте встроена переадресация:
<meta http-equiv=»refresh» content=»0; url=http://hoangkimxd.com.vn/wp-content/uploads/wow-slider-plugin/import/engine1/En/cgi-fmdf/»/>
на страницу http://hoangkimxd.com.vn/wp-content/uploads/wow-slider-plugin/import/engine1/En/cgi-fmdf/ .
Домен http://hoangkimxd.com.vn — во вьетнамской зоне, взломанный IMHO сайт , работающий на WordPress, принадлежит Bản quyền HOANG KIM IC.,JSC:
hoangkimxd.com.vn
Адрес электронной почты для связи — info@hoangkimxd.com.vn. Я написал письмо по этому адресу с сообщением о фишинговой странице. Письмо было прочитано 19/10/2015 11:19 AM . Страница пока осталась на месте…
На фишинговой странице index.php, расположенной в директории плагина WOW Slider для WordPress, имеется форма для ввода логина и пароля аккаунта PayPal:
воровство аккаунта PayPal

Введенные данные методом POST пересылаются скрипту logcheck.php.
После ввода корректных данных и нажатия на кнопку «Log In» появляется сообщение об ошибке:
воровство аккаунта PayPal
Если Вы ввели корректные данные, то они уже, скорее всего, заботливо сохранены 🙂
Вот такие дела! Как говорится, be careful!
P.S. Вечером 20 октября встроенная защита браузера Mozilla Firefox от Фишинга и Вредоносных программ стала выдавать окно с предупреждением при попытке захода на вредоносную страницу:
PayPal-фишинг
Браузер Opera также выдавал предупреждение:
PayPal

Но в браузере Google Chrome страница продолжала открываться. Я сообщил о проблеме в службу поддержки Google Chrome. Вскоре предупреждающее сообщение стал выдавать и браузер Google Chrome:
фишинг PayPal



Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *