Kifinomult PayPal adatlopás

Tegnap kaptam egy email-t spam mappába, amiben az állt, hogy a PayPal fiókomhoz való hozzáférés korlátozott lett. Muszáj lépéseket tennem ez ellen. Mivel én egy gyanútlan, jóhiszemű ember vagyok végig mentem a folyamaton, hiszen biztos csak véletlen került a spam mappába nagy piros jelzéssel, hogy próbáltak már adatot lopni így.

Ez volt az email fejléce

Kifinomult PayPal adatlopás – @Yzahkin Image 1

Feladót hamisítani semmiség. Sajnos ez egy olyan lyuk a rendszerben, ami örökre velünk marad. De jól látható, hogy a “küldő” PayPal közelében sincs. A secure.com-ot meg nem is titkolja, mert mi lehet megbízhatóbb egy secure.com nevű oldalnál, ahol amúgy semmi sincs csak parkoltatva van? 

Így nézett ki az email

Kifinomult PayPal adatlopás – @Yzahkin Image 2

A készítője láthatóan sokat törődött azzal, hogy hiehtő legyen. A “secure” szó pipával újra feltűnik, hogy még biztonságosabbnak érződjön minden.

A gmail nem engedte meg, hogy kattintsak a log in gombra (a spam mappában lévő levelekben ezt megakadályozzák), de a levél forrásából kiszedtem a linket, ami egy goo.gl cím volt. Emiatt és a tény miatt, hogy ez a rövid url még működött úgy gondolom, hogy minden kiküldött email-hez külön goo.gl címet generál API-on át. Amit a Google könnyedén letilthatna, ha nem automatikus lenne a spam kezelés (vagy ha ezt is belevennék az automatikába).

Minden esetre megnyitottam TOR-on át. Ugyan így is az email címemhez tud kötni, de IP lokációhoz nem. Meg magamat hitegetem, hogy így biztonságosabb. Nekem is kell egy kis illúzió.

Ez az oldal fogadott

Kifinomult PayPal adatlopás – @Yzahkin Image 3

A címben ott a secure szó ismét, plusz support üzenetnek tűnő levélben így a “supp” domain is hamis bisztonság érzetet ad. Így az áldozat úgy gondolja, hogy annak ellenére, hogy nem paypal.com van oda írva: biztonságban van.

Maga a domain teljesen üres egy karakternyi html sincs benne.

Következő lépéskén, csak ösztönösen beírtam egy hasraütésszerű email címet és rátenyereltem a billentyűzetre egy jelszóért.

Tovább is engedett. Nyilván ezek az adatok mentek egy adatbázisba.

Kifinomult PayPal adatlopás – @Yzahkin Image 4
Kifinomult PayPal adatlopás – @Yzahkin Image 5

A felugró ijesztő figyelmeztetés emlékeztet rá, hogy az adataimat meg kell erősíteni, ha a PayPalt tovább akarom használni. Ezután egy ismét hihető űrlapon meg kell adni a bankkártya adataimat. Mondanom se kell ez is mind mentésre kerül.

Ami lenyűgözött, hogy még ellenőrzi is az adatok helyességét. Ugyan a Card Type mező nincs hatással a kártya szám mezőre. De ha helytelen bakkártya számot írunk be, akkor nem enged tovább. Az, hogy egy bankkártya szám helyes-e arra hivatalos matematikai modell van. Itt én is készítettem egy ellenőrző script-et. Ez nem ördögtől való.

Szóval fogtam egy reális de nem létező számot és meg is állapította, hogy MasterCard. Szép.

Kifinomult PayPal adatlopás – @Yzahkin Image 6

A következő lépés a címem megadása volt. Semmi különös nincs ebben.

Kifinomult PayPal adatlopás – @Yzahkin Image 7

Utána vissza küld az előző mezőre, a már megadott adatokkal

Kifinomult PayPal adatlopás – @Yzahkin Image 8

És végül egy utolós ellenőrzés: újra a bankkártya adatok. Biztos, ami biztos.

Kifinomult PayPal adatlopás – @Yzahkin Image 9

A Confirm Now gomb viszont egy igazi meglepetést tartogat. Ami tökéletessé teszi ezt a csalást. Amikor rákattintunk a valódi PayPal-on találjuk magunkat félig bejelentkezve.

Kifinomult PayPal adatlopás – @Yzahkin Image 10

Ezt úgy éri el, hogy az előzőleg beírt adatainkat PayPal álltal felismert sütikbe rakja és postolja az oldalnak, mintha a belépő űrlapon jelentkeztünk volna be. Valószínűleg (ki nem próbálom), ha az áldozat valós adatokat ad meg tényleg belép a PayPal fiókjába és úgy érezheti, hogy egy valódi folyamaton ment végig. Mivel én véletlenszerű adatokat használtam a PayPal csak arra gyanakszik, hogy hibás sütiket talált és azért adja ki ezt a lapot. Ami még mindig zavaróan úgy néz ki, mintha be lennék lépve (és ez a PayPal töketlensége).

Mi a tanulság? Egy bank se, vagy egyéb pénzügyi szerverzet se kér adategyeztetést email-ben vagy telefonon. Viszont tolvajok mindent megtesznek az adatinkért és ennyire kifinomult és átgondolt módszerekkel próbálják elérni céljukat. Ez itt bizonyosan áldozatokkal is járt.

És miként tudják az én email címem PayPal vonatkozásban? Biztosan nem tudom, de a legjobb tippem eBay + Kína. Rengetegszer rendeltem kínából, minden árusnak megvan az email címem és bármiféle rosszindulat és előítélet nélkül nem lep meg, ha ezeket az adatokat eladnák. “Tessék itt van 30000 email cím, ami paypal-al fizetett: 1000 yuan lesz”. No hard feelings. 

Szóval figyelmébe ajánlom ezt minden eBay felhasználnónak. Ez az olcsó termékek és ingyen postázás ára.