PayPal fišing stranica traži od korisnika selfi sa ličnom kartom

Vesti, 20.06.2017, 01:00 AM

Korisnici PayPala još jednom su se našli na meti fišera koji su pokušali da ih dovedu na hakovani web sajt na kome se nalazi kopija PayPalove stranice za prijavljivanje. Fišeri su pokušali da prevare korisnike PayPala da im predaju lozinke za naloge, podatke o platnim karticama i što je najzanimljivije, da na fišing stranici ostave "selfi" na kome drže svoju ličnu kartu.

Da bi doveli korisnike PayPala na fišing stranicu hostovanu na kompromitovanom WordPress sajtu sa Novog Zelanda, fišeri su koristili spam emailove.

U ovom trenutku, fišing stranica je uklonjena, ali pre toga korisnici su nasedali na klasičan trik fišera iako oni nisu ni pokušavali da sakriju URL stranice. Oni oprezniji korisnici mogli su lako da primete da su na pogrešnoj adresi.

Lozinke korisnika ovim kriminalcima nisu bile dovoljne. Računajući na neoprezne i neupućene korisnike fišeri su tokom procesa u četiri koraka, tražili od žrtava adresu, podatke o platnoj kartici i fotografiju na kojoj drže ličnu kartu.

Nije jasno zašto su kriminalci tražili ove informacije, ali pretpostavlja se da su im potrebne za pranje novca.

Traženje selfija sa ličnom kartom je već viđena taktika kriminalaca. U oktobru prošle godine, stručnjaci kompanije McAfee otkrili su verziju Android trojanca Acecard koja je tražila od korisnika selfi sa ličnom kartom prilikom prijavljivanja na mobilne bankovne naloge.

Taktika je u to vreme bila veoma inovativna, i izazvala je veliku pažnju medija. Moguće je da iza fišing kampanje protiv korisnika PayPala i prošlogodišnje kampanje trojanca Acecard stoji ista osoba, koja je možda samo prilagodila svoju taktiku fišing napadima na korisnike PayPala.

Procedura otpremanja selfija je veoma zanimljiva. Umesto da koriste WebRTC ili Flash za pristup web kameri korisnika koji treba da se slika i sačuva automatski sliku u formi, kriminalci traže od korisnika da postave fotografiju sa računara. To je teže za korisnike, koji treba da se slikaju, prebace fotografiju na računar, i zatim je postave na stranicu. Sa druge strane, to je dobro za korisnike, jer im daje dovoljno vremena da primete da nešto nije u redu.

Fišeri obično ne proveravaju šta korisnici unose u forme. Ali ovi fišeri proveravaju da li korisnici postavljaju fotografiju u JPEG, JPG ili PNG formatu.

Ipak, fišeri su napravili grešku jer fotografije korisnika se ne čuvaju na serveru koji je pod njihovom kontrolom, nego se šalju na email adresu oxigene[.]007@yandex[.]com.

Kris Sims iz PhishMe kaže da je tražio ovu adresu na Skypeu, i otkrio da pripada osobi "najat zou", iz "mansac, France". Iako ovo nije pouzdana informacija, ona je ipak prvi trag koji stručnjaci mogu koristiti za praćenje fišera ako policija reši da pokrene istragu.