Немножко про антифишинг в платёжной сфере.

14.11.2020 21:51 3 1 009 просмотров
Я, как порядочный параноик, а точнее любитель информационной безопасности не смогла пройти мимо фишингового письма, которое пришло мне на мой личный почтовый ящик. Многие из нас знают про PayPal, кто-то даже имеет там свой кошелёк и даже активно пользуется им.
Особо хотела бы сразу предостеречь всех читателей: Ни в коем случае не экспериментировать с фишинговыми ссылками! Не пытаться по ним проследовать. Ссылки и домены, используемые для фишинга приведены в ознакомительно-разоблачительных целях. Есть вопросы? Спросите меня. Мой компьютер нахлобучен спецсофтом, позволяющим сёрфить без вреда по самым заразным местам в интернете.

Сегодня я решила глянуть свою почту, как обычно глянула входящие и решила заглянуть в папку "Спам". В "Спаме" мне пришло вот такое вот письмо:


Казалось бы пришло письмо от "Палки". Всё замечательно подобрано, и шрифты, и цветовая гамма, и композиция страницы, словно две капли воды похожи на официальной письмо. Но, тут есть целый ряд несостыковок.

Несостыковка №1.
Смотрим на строчку отправителя и видим, что оно пришло типа от paypal.ca. Казалось бы это канадский PayPal, на самом деле это не так. Канадский PayPal имеет адрес https://www.paypal.com/ca/home/, но никак на paypal.ca. И вообще это не домен, а строчка под фамилию и имя отправителя. Если присмотреться внимательно, то адрес отправителя fluxmanager@otsspa.com. Домен принадлежит реально существующей итальянской логистической компании OTS S.p.A, находящейся в Чвитанова Марке, регион Марке, провинция Мачератте, имеющей регистрационный номер 00831370432.

Едем дальше.



Ох, незадача! Предлагается нажать волшебную кнопочку, чтобы снять ограничения с вашего кошелька. Доверчивый пользователь немедленно проследует. А я, как порядочный параноик, не проследую, т.к. не уверена что это безопасно, что меня там не обидят, т.е. не украдут мои логин и пароль. Мне пришлось перекинуть из "спама" письмо в другую папку, чтобы через инспектор кода посмотреть что же висит на кнопке.

Несостыковка№2.
Итак на кнопке targer = "blank" и ссылка href="http://zh_on*****id*an.com/vendor---/phpunit/phpunit/---/Util/PHP*** . Т.е. при нажатии на кнопку в браузере откроется новая страница и вас перекинет на форму ввода данных - логина и пароля, при вводе которых и подтверждении сработает тот самый вредоносный скрипт, написанный на языке РНР. Это серверный язык программирования, на котором пишутся программы для серверов и движки для сайтов. Т.к. вредоносина сидит на сервере, где хостится страница, следовательно её не обнаружит антивирус, который стоит у вас. Антивирус сработает если есть вредоносный скрипт на клиентской стороне, иначе говоря если есть сценарий на веб-странице, загружаемой клиенту. Тогда антивирус отпнёт страницу или выдаст предупреждение типа "Сайт содержит вредоносное что-то там".
Что касается страницы, то могу сказать с уверенностью, страница с вредоносиной хостится в Пекине, КНР. Домен зарегистрирован на частное лицо предположительно жителя КНР в марте 2017 года. Китайский "рыбак" даже не стал утруждать себя оформлением сертификата для сайта, соединение с сервером по протоколу HTTP, хотя официальный PayPal никогде не использует HTTP, только HTTPS и имеет свой сертификат.

Ну, теперь ближе к финалу. Это самый низ страницы.




На стилизованных под сылки в стиле PayPal Help | Security Centre и Help & Contact ничего нет. Это просто слова текста, стилизованные под ссылки средствами CSS (язык описания внешнего вида документа, применяется в вёрстке веб-страниц).

Несостыковка №3
Внизу страницы даются данные PayPal Pte. Ltd. Это сингапурская "Дочка" PayPal Inc., работающая в Сингапуре. Такая контора действительно есть.
Комбинация цифр и символов особо ничего не говорит. Больше похожа на бред или какой-нибудь криптовалютный кошелёк.

Стоп! В начале страницы были указаны контакты канадского подразделения PayPal, а данные внизу страницы вдруг сингапурской "дочки". И какой же это PayPal, черт побери?! Ответ один - фишинговый. Данное письмо не имеет отношения к PayPal. Рассылка производится с территории КНР, почтовый ящик итальянской лоистической компании был "угнан" хакерами из Поднебесной для спам-рассылок.
Российским пользователям информационные сообщения от PayPal приходят с ящика paypal@mail.paypal.com. Это официальный ящик PayPal для рассылок. Если вы забыли и сбросили пароль, то сообщение должно прийти от service@paypal.com, другого быть не должно, а если и есть, то повод призадуматься. Чтобы попасть в свой кошелёк рекомендую не гуглить и не яндексировать, а переключить раскладку на английскую и прямо в адресной строке браузера написать paypal.com и попадёте на https://www.paypal.com/, там смело можно вводить свои логин и пароль.




*** ссылка попорчена мной специально, чтобы у ослушавшихся меня любопытных читателей не было желания по ней проследовать ибо там фишинг, направленный на хищение денег. Я убрала некоторые участки полного пути для скрипта и исказила доменное имя.

Комментарии 3

Светлана Сорокина  (41163)
#
Такая кропотливая работа проведена и все это для нас чайников !Спасибо большое!
андрей  (киндзмарауленко)
#
лиля, интересно, а вы умеете готовить?smile:-)

и вообще, вы - мой герой ("...мало ем, хожу пешком, да штопанная одежда и подклеенные колготки, да отросшие корни у волос. ")
smile:-)
Лилия Лунина  (Nerevar)
#
Цитата
андрей пишет:
лиля, интересно, а вы умеете готовить?smile:-)

и вообще, вы - мой герой ("...мало ем, хожу пешком, да штопанная одежда и подклеенные колготки, да отросшие корни у волос. ")
smile:-)


Спасибо!

Готовить умею, но несложные блюда, которые не требуют поварских навыков.
Комментарии и отзывы могут оставлять только зарегистрированные пользователи.
Авторизуйтесь или зарегистрируйтесь.

Популярные сообщения

Вклады с максимальными процентами в рублях. Июнь 2021
Таблица приведена по состоянию на 12.06.2021 Обсуждение - на форуме в топике «Обсуждение вкладов с максимальными процентами в рублях» Архив таблиц по
2
Расходные банковские продукты. Июнь 2021
Банковские продукты, сочетающие максимальную доходность и распоряжение средствами без ограничений Порог включения от 5.1% в пересчёте на вклад с
0
Велика ли вероятность приватизации Аэрофлота ?
На фоне вялого продвижения очереди банков на отзыв лицензий, решила отвлечься от этой скучной темы и поговорить о другом. О перспективном инвестировании
0
Ссылки
ЛОКО вывод по СБП
1

Новые сообщения

Продукты Банки.ру