PayPal e' un sistema di pagamento online che permette a qualsiasi azienda o consumatore che disponga di un indirizzo email di inviare e ricevere pagamenti.
Registrandosi gratuitamente, e' possibile aprire il proprio account che consente di effettuare pagamenti utilizzando la mail e la relativa password.
Al proprio account e' possibile associare una carta di credito (fino ad un massimo di otto), oppure una carta prepagata, oppure si puo' ricaricare senza spese dal conto corrente bancario.
PayPal ha 250 milioni di conti attivi ed e' disponibile in 190 Paesi e territori (dati al 25 novembre 2011).(fonte Wikipedia)
Appare evidente che un sistema di pagamenti attraverso Internet cosi' diffuso non possa che essere sempre di piu' nelle attenzioni dei phishers che tentano di acquisire credenziali di carta di credito, codici di accesso al servizio ecc.....
Per rendersi conto dell'elevato numero di cloni attivi di PayPal basta quindi dare una occhiata ad uno dei tanti siti che propongono, aggiornandole costantemente, liste di indirizzi di pagine o di siti di phishing.
Ecco un report, relativo alle ultime 20 segnalazioni presenti su noto sito di elenchi di phishing
ottenuto tramite script Autoit, e che, per maggiore dettaglio, genera anche un report HTML degli indirizzi acquisiti catturando in automatico al momento della creazione del report uno screenshot all'indirizzo segnalato.
Possiamo vedere qui, piu' chiaramente, gli screenshot acquisiti
e notare, come d'altronde evidenziava gia' il report, una notevole percentuale di cloni PayPal con differenti layouts.
Questo screenshot mostra ad esempio come l'acquisizione dei codici di carta di credito sia una delle maggiori 'attivita'' legate a questi fasi siti PayPal
La premessa serve ad introdurre l'analisi di una delle ultime mails ricevute relative a phishing PayPal
La cura posta nel layout e' notevole, visto che il messaggio mail presenta un contenuto con immagini e loghi copiati dall'originale sito Paypal.
Il testo presente, invece, mostra alcuni errori.
Seguendo il link in mail abbiamo un redirect
che ,non succede molto spesso, e' hostato su sito compromesso con whois IT
Di solito e' piu' comune che, proprio per evitare tempestive azioni di 'messa OFF-line' del redirect, il link sia ospitato su servers non appartenenti alla stessa nazione dell'utenza a cui e' rivolto il phishing (in questo caso IT)
Il redirect punta a sua volta a sito con whois
che propone il clone PayPal in lingua italiana
Notate sia data attuale del folder incluso nel sito compromesso
che la presenza di un codice PHP di shell
Il clone PayPal presenta pagine ben curate nel layout
con richiesta di codici di carta di credito
Presenti anche links al reale sito PayPal (es. queste info online) allo scopo di aumentare l'effetto ingannevole del clone:
Viene anche richiesta la password del servizio 'Verified by VISA'
per redirigere poi sul reale sito di PayPal IT.
Edgar
Nessun commento:
Posta un commento