PayPal adatlopás egyszerűbben

Mivel PayPal felhasználó vagyok és ugyan azt az email címet használom PayPal-ra, mint amivel kommunikálok is: folyton kapom az adatlopó oldalak linkjeit. Emiatt úgy döntöttem, hogy minden újat dokumentálok. Nem mélyülök el nagyon bennük, csak ha valamit érdekesnek találok bennük. Ez most egy egyszerűbb eset.

Az egész ezzel az email-el indult

PayPal adatlopás egyszerűbben – @Yzahkin Image 1
PayPal adatlopás egyszerűbben – @Yzahkin Image 2

Ahogy az látható a feladó PayPalpay [email protected] Ami egyértelműen hamis, de az ötlet mögötte az, hogy “PayPalpay pal” részt egybe olvasva a [email protected] címet kapunk. Persze ahogy említettem egy sor kóddal lehet hamis címről küldeni levelet (ahogy egy borítékra is azt írunk feladónak, amit akarunk). 

Ne felejtsük el: ha egy cég ír nekünk az saját szerverről fog írni és az email címük se “support.com” lesz hanem [email protected]ÉGNÉV.com. 

A történet pedig a már ismert: ellenőrizni kell az adatait.

Szóval kattintottam…

…volna, ha a gmail engedte volna. A levél eredetijéből kifejtettem egy bit.ly linket. Szinte biztos vagyok benne, hogy minden kiküldött levélnek egyedi linkje van, főleg mert a bit.ly utáni URL-ben van _SESSION és _EMAIL attributum.

PayPal adatlopás egyszerűbben – @Yzahkin Image 3

A weboldal címe egyébként tele van hányva paypal meg “notification” meg https szavakkal, hogy a káosszal de biztonságot árasztó szavakkal elnyomja az áldozat gyanúját. Valószínűleg ez hatásos is. 

Beírtam hát, hogy “a” és jelszónak, hogy “a”.

PayPal adatlopás egyszerűbben – @Yzahkin Image 4

Egy egyszerű történet fogad arról, hogy a PayPal figyel a biztonságra és valaki hozzá akart férni a fiókunkhoz az engedélyünk nélkül, emiatt zárolták azt. Ironikus? Kicsit. Valós? Nem.

Így hát folytattam utamat

PayPal adatlopás egyszerűbben – @Yzahkin Image 5

Gyönyörű űrlap fogad. Ezen az oldalon látható, hogy az email címet (tehát a jelszót is) már elmentette. Ezen a ponton nem törődtem azzal se, hogy próbáljak kitalálni bármi valóságszerű adatot. Simán továbbengedett, hiszen a következő lépés sokkal fontosabb.

PayPal adatlopás egyszerűbben – @Yzahkin Image 6

Kamu töltő képernyő után: bakkártya adatok

PayPal adatlopás egyszerűbben – @Yzahkin Image 7

Ez már kifinomultabb. Itt nem írhatok be valótlan adatokat (formailag). Szóval megadtam egy reális, de nem létező VISA kártyát, amit azonnal fel is ismert annak.

PayPal adatlopás egyszerűbben – @Yzahkin Image 8

Aztán még több banki adatot kért

PayPal adatlopás egyszerűbben – @Yzahkin Image 9

Itt kicsit elakadtam, mert routing numbert kellett keresnem. De előtte még megpróbáltam a kódból kitörölni azt a mezőt. 

PayPal adatlopás egyszerűbben – @Yzahkin Image 10

Látható, hogy itt is ellenőrzi a szabványt. De ez a család teljesen a háttérben PHP-ben fut, így hiába töröltem ki a mezőt az program várta és ellenőrizte az adatokat és kész.

PayPal adatlopás egyszerűbben – @Yzahkin Image 11

Később kipróbáltam, hogy a Skip gomb is működik. De SIKER! végre újra használhatom a PayPal-t. Minden szép és jó. Kivéve, hogy kiraboltak. Volna. 

Jól látható, hogy ez a csaló is sokat dolgozott azon, hogy valódinak tűnjön. A logók, színek még a gombok alakja is mind a PayPal-t másolják. A kamu töltő képernyők is egyeznek a PayPal valódi töltéseivel és az adatok ellenőrzése biztosítja a csalót, hogy az áldozat helyes adatokat ír be. 

Mind ezt a böngészők újabb HTML5 funkciói könnyítik meg, amikkel már hosszú, kényelmetlen kódolás nélkül is lehet bevitt adatokat ellenőrizni (bár ez a támadó vette a fáradtságot és a háttérben is ellenőriz) 

Tanulság? PayPal nem kér infókat email linkeken keresztül. PayPal csak PayPal.com címen kér adatokat, akkor amikor mi kattintunk olyan helyre, ahol adatokat kérnek. A cím sávban nem lehet más, mint paypal.com.

PayPal adatlopás egyszerűbben – @Yzahkin Image 12