Ellopták az eBay fiókomat

Kaptam egy email-t, hogy felfüggesztették az eBay fiókomat, mert valakik pénzt küldtek róla más országokból. Ki kellett töltenem az adataimat, hogy bebizonyítsam, hogy csak is én férek hozzá a fiókhoz. 

Ez is a szokásos adatlopási módszer, ugyan úgy nem meglepő, hogy az email címem megvan eBay viszonylatban a tolvajoknak, mint a PayPal esetében. Valószínűleg nem egy boltos adta már el az adatbázisát. Kikötőkben nem csak kereskedők, de kalózok is kikötnek.

Így nézett ki az email

Ellopták az eBay fiókomat – @Yzahkin Image 1

“Ebay_Support” már gyanús lehet. Az eBay nem így írja a nevét. Szerencsére a Gmail tájékoztat a legnagyobb figyelmeztetéssel. Így a “Confirm Account” gomb se használható többé. Így az eredeti levélből kellett kibányáznom egy goo.gl címet. (a Google ha már olvassa a leveleket biztonsági ellenőrzés céljából, az ilyen spam-oknál nyugodt szívvel tilthatná is az ilyen rövid URL-eket ugyan azzal a lendülettel. Úgy érzem ezt még el fogom sírni néhányszor.)

Ide vezet a rövid URL

Ellopták az eBay fiókomat – @Yzahkin Image 2

Az ID-t kitakarom, mert ez alapján be tud azonosítani. Az valószínűleg egy ID, amit a kiküldött email-hez küld. 

Maga a cím érdekes. Vagy az a helyzet, hogy egy feltört Drupal oldal mappáiba rejtették ezt a tolvaj programot, vagy eleve ezért tartják fenn ezt az oldalt, hogy legyen hova rejteni. 

Mivel a c-suite institute oldala valódinak tűnik… de a cég címe a semmi közepén van és mind LinkedIn-en mind Facebookon ugyan azokat a stock fotókat használják… szóval érdekes. Minden esetre nem bíznék egy cégbe, aki így néz ki online (a pénzükben bíznék, hogy rázzam gatyába őket). A domain-t egy hasonlóan semmilyen cég regisztrálta, hasonlóan ócska jelenléttel.

Akár bele is áshatnám magam, de ennyire nem érdekel.

Minden esetre így néz ki az “Ebay” oldaluk.

Ellopták az eBay fiókomat – @Yzahkin Image 3

Jól látható, hogy itt már sokat tettek azért, hogy valódinak tűnjön. Az URL-ben rásegít a https://, ami a valóságos domain miatt még érvényes is sajnos. Csendben károkozás nélkül feltört oldalakat lehet így használni. A CMS mappákba elrejteni fájlokat, amiket más célokra használnak egy jó módszer és láthatóan működik is.

Kamu email cím és jelszó megadása után

Ellopták az eBay fiókomat – @Yzahkin Image 4

Innentől standard adatlopás 3 lépésben, minden szempontból eBay dizájnnal. Nem ellenőrzi formailag a mezőket, szóval 

akadály nélkül tovább jutottam

Ellopták az eBay fiókomat – @Yzahkin Image 5

Itt már figyel a formára. Minden kért adatot megadtam. Egy gramm valóságtartalom nem volt benne, de egy gépnek elég, ha úgy néz ki, ahogy kell.

A harmadik lépés

Ellopták az eBay fiókomat – @Yzahkin Image 6

A harmadik lépés nem egy lépés. “Thank You!” Soha nem láttam ezt még így leírva. A Back To Your Account gomb a valódi eBay-re ugrik. A PayPal-nál látott automatikus bejelentkezés itt nem él. Viszont, aki tényleg eBay felhasználó és napi szinten látogatja, az amúgy is be van jelentkezve. Ha az áldozat eddig a pontig nem vette észre a csalást, akkor ezután már csak akkor fogja, amikor megváltozik a jelszava és kiürül a bankszámlája, miután csendben eladták a profilját és a kártya adatait is.

Tanulság?

  1. Mindig nézzük meg, kitől kaptunk emailt.
  2. Bankok és józan weboldalak soha nem küldenek ilyen emailt
  3. Mindig nézzük meg az oldal címét. Ha bármilyen műveletet el kell végeznünk bármelyik weboldalon: azt azon a weboldalon is végezzük, akármit állít az üzenet.
  4. a https:// nem azt jelenti, hogy maga a weboldal valódi. Az azt jelenti, hogy a gépünk és a weboldal között biztonságosan megy a kommunikáció. Attól még lehet az oldal illegális és hamis.