Немножко про антифишинг в платёжной сфере.

14.11.2020 21:51 1 231 просмотр
Я, как порядочный параноик, а точнее любитель информационной безопасности не смогла пройти мимо фишингового письма, которое пришло мне на мой личный почтовый ящик. Многие из нас знают про PayPal, кто-то даже имеет там свой кошелёк и даже активно пользуется им.
Особо хотела бы сразу предостеречь всех читателей: Ни в коем случае не экспериментировать с фишинговыми ссылками! Не пытаться по ним проследовать. Ссылки и домены, используемые для фишинга приведены в ознакомительно-разоблачительных целях. Есть вопросы? Спросите меня. Мой компьютер нахлобучен спецсофтом, позволяющим сёрфить без вреда по самым заразным местам в интернете.

Сегодня я решила глянуть свою почту, как обычно глянула входящие и решила заглянуть в папку "Спам". В "Спаме" мне пришло вот такое вот письмо:


Казалось бы пришло письмо от "Палки". Всё замечательно подобрано, и шрифты, и цветовая гамма, и композиция страницы, словно две капли воды похожи на официальной письмо. Но, тут есть целый ряд несостыковок.

Несостыковка №1.
Смотрим на строчку отправителя и видим, что оно пришло типа от paypal.ca. Казалось бы это канадский PayPal, на самом деле это не так. Канадский PayPal имеет адрес https://www.paypal.com/ca/home/, но никак на paypal.ca. И вообще это не домен, а строчка под фамилию и имя отправителя. Если присмотреться внимательно, то адрес отправителя fluxmanager@otsspa.com. Домен принадлежит реально существующей итальянской логистической компании OTS S.p.A, находящейся в Чвитанова Марке, регион Марке, провинция Мачератте, имеющей регистрационный номер 00831370432.

Едем дальше.



Ох, незадача! Предлагается нажать волшебную кнопочку, чтобы снять ограничения с вашего кошелька. Доверчивый пользователь немедленно проследует. А я, как порядочный параноик, не проследую, т.к. не уверена что это безопасно, что меня там не обидят, т.е. не украдут мои логин и пароль. Мне пришлось перекинуть из "спама" письмо в другую папку, чтобы через инспектор кода посмотреть что же висит на кнопке.

Несостыковка№2.
Итак на кнопке targer = "blank" и ссылка href="http://zh_on*****id*an.com/vendor---/phpunit/phpunit/---/Util/PHP*** . Т.е. при нажатии на кнопку в браузере откроется новая страница и вас перекинет на форму ввода данных - логина и пароля, при вводе которых и подтверждении сработает тот самый вредоносный скрипт, написанный на языке РНР. Это серверный язык программирования, на котором пишутся программы для серверов и движки для сайтов. Т.к. вредоносина сидит на сервере, где хостится страница, следовательно её не обнаружит антивирус, который стоит у вас. Антивирус сработает если есть вредоносный скрипт на клиентской стороне, иначе говоря если есть сценарий на веб-странице, загружаемой клиенту. Тогда антивирус отпнёт страницу или выдаст предупреждение типа "Сайт содержит вредоносное что-то там".
Что касается страницы, то могу сказать с уверенностью, страница с вредоносиной хостится в Пекине, КНР. Домен зарегистрирован на частное лицо предположительно жителя КНР в марте 2017 года. Китайский "рыбак" даже не стал утруждать себя оформлением сертификата для сайта, соединение с сервером по протоколу HTTP, хотя официальный PayPal никогде не использует HTTP, только HTTPS и имеет свой сертификат.

Ну, теперь ближе к финалу. Это самый низ страницы.




На стилизованных под сылки в стиле PayPal Help | Security Centre и Help & Contact ничего нет. Это просто слова текста, стилизованные под ссылки средствами CSS (язык описания внешнего вида документа, применяется в вёрстке веб-страниц).

Несостыковка №3
Внизу страницы даются данные PayPal Pte. Ltd. Это сингапурская "Дочка" PayPal Inc., работающая в Сингапуре. Такая контора действительно есть.
Комбинация цифр и символов особо ничего не говорит. Больше похожа на бред или какой-нибудь криптовалютный кошелёк.

Стоп! В начале страницы были указаны контакты канадского подразделения PayPal, а данные внизу страницы вдруг сингапурской "дочки". И какой же это PayPal, черт побери?! Ответ один - фишинговый. Данное письмо не имеет отношения к PayPal. Рассылка производится с территории КНР, почтовый ящик итальянской лоистической компании был "угнан" хакерами из Поднебесной для спам-рассылок.
Российским пользователям информационные сообщения от PayPal приходят с ящика paypal@mail.paypal.com. Это официальный ящик PayPal для рассылок. Если вы забыли и сбросили пароль, то сообщение должно прийти от service@paypal.com, другого быть не должно, а если и есть, то повод призадуматься. Чтобы попасть в свой кошелёк рекомендую не гуглить и не яндексировать, а переключить раскладку на английскую и прямо в адресной строке браузера написать paypal.com и попадёте на https://www.paypal.com/, там смело можно вводить свои логин и пароль.




*** ссылка попорчена мной специально, чтобы у ослушавшихся меня любопытных читателей не было желания по ней проследовать ибо там фишинг, направленный на хищение денег. Я убрала некоторые участки полного пути для скрипта и исказила доменное имя.

Комментарии 1

Светлана Сорокина  (41163)
#
Такая кропотливая работа проведена и все это для нас чайников !Спасибо большое!
Комментарии и отзывы могут оставлять только зарегистрированные пользователи.
Авторизуйтесь или зарегистрируйтесь.

Популярные сообщения

Карта UNO от банка Нейва
Небольшой "обзор" на карту от меня. Также планировался как небольшой FAQ 1. Оформление и получение карты Оформить карту можно на промосайте или на
0
ОПЛАТА НАЛОГОВ с кэшбэком
Соответствующие темы на форуме: Банки начисляющие кэшбэк за оплату налогов мсс 9311: Райфайзенбанк 5% (кредитная карта «#Всёсразу»). Карта в
13
Сколько осталось жить ИИС типа А?
В Коммерсанте появилась новая статья про перспективы ИИС: Какие инвестиционные счета могут появиться на российском рынке. В статье говорится, что "Появление
10
Авторский рейтинг надежности МФО и коллекторских агентств от thinks (не аккредитован ЦБ) - ноябрь 2020
Внутрифорумный рейтинг надежности МФО и коллекторских агентств от thinks (не аккредитован ЦБ) - ноябрь 2020 В рейтинге в названии МФО или коллекторского
0
Немножко про антифишинг в платёжной сфере.
Я, как порядочный параноик, а точнее любитель информационной безопасности не смогла пройти мимо фишингового письма, которое пришло мне на мой личный почтовый
1

Новые сообщения

  • Петиция в ВТБ
    Добрый день. В связи с тем, что уже у многих брокеров есть доступ к иностранным площадкам для квалов по условиям, которые намного лучше чем в ВТБ,
  • Карта UNO от банка Нейва
    Небольшой "обзор" на карту от меня. Также планировался как небольшой FAQ 1. Оформление и получение карты Оформить карту можно на промосайте или на
  • Скидка при первом заказе на Озон
    Как только начинается ежегодная распродажа 11.11 на Алиэкспресс, так сразу же начинается тема реальности скидок на этой торговой площадке. И каждый раз
  • ОПЛАТА НАЛОГОВ с кэшбэком
    Соответствующие темы на форуме: Банки начисляющие кэшбэк за оплату налогов мсс 9311: Райфайзенбанк 5% (кредитная карта «#Всёсразу»). Карта в
  • УКЭП для частных лиц. Мой личный опыт.
    Получение УКЭП. Многие из нас слышали про УКЭП - усиленную квалифицированную цифровую подпись и немногие из нас ею пользуются. УКЭП очень популярна у

Продукты Банки.ру