Phishing PayPal molto originale

Sicurezza Feb 03, 2018 No Comments

Mi arriva nella mail un messaggio da un presunto PayPal che dice che ho speso 25€ su Google Play.

Mi puzza subito, controllo su PayPal che contiene il mio saldo solito, senza alcuna manomissione ne 25 euro in meno.

La mail era costituita da due parti:

  1. Un testo che accennava, senza alcun link, alla questione
  2. Un PDF allegato col titolo “invoices.pdf”

Decido di investigare e faccio una cosa rischiosa, salvo il file, che ha hash 9f7bd2cd4ece9bf734a34d856d6cec997957404bfdb1e985f00349ea6f7c1a09.

Lo apro con un Reader online per mininizzare i danni in caso di exploit ed è una fattura generica, senza nomi, che afferma questa spesa e dice che ho 180 giorni per contestare e fornisce un link.

Per Virustotal, comunque, il file è pulito.

Non mi fido lo stesso e grazie ad alcuni temerari utenti con iPhone (Android mi piace ma dubito sia un exploit per iOS più di quanto dubiti che sia per Android) ottengo il link: è un sito di phishing bello e buono che simula la pagina di PayPal.

Il sito, tra l’altro, è in HTTPS. A dimostrazione che non è una garanzia. Faccio un login con dati palesemente falsi e mi mostra una schermata di sicurezza con il mio IP e una localizzazione spannometrica. Vado avanti e chiede gli indirizzi per il rimborso. Messi, ovviamente inventati, chiede i dati della carta di credito.

E li controlla, ho dovuto generarli con FakeNameGenerator.

Una volta messi ricevo un errore di connessione. Sinceramente dubito che sia un vero errore, molto probabilmente serve a far dimenticare all’utente della faccenda.

Una tecnica interessante

Sì, è una tecnica abbastanza interessante specialmente per l’utente comune.

Infatti l’utente aziendale probabilmente ha ricevuto disposizioni sul non aprire tali file se non richiesti per il rischio ransomware.

L’utente comune, invece, non vedendo link, aprirà il PDF aggiungendo un passo mentale alla truffa e una volta aperto il link, che si adatta anche alla lingua, si sarà scordato della mail originale e potrebbe mettere le credenziali visto anche il sito in HTTPS.

Un segnale comunque c’è, l’email è inpersonale. PayPal conosce il vostro nome dunque saprebbe chiamarvi per nome. Il phisher non lo sa dunque vi chiama “cliente”

State attenti e ricordate che:

  1. Le email con “cliente” senza il vostro nome sono spesso truffe
  2. Gli allegati non richiesti non vanno aperti, possono costare molto caro
  3. Se ricevete email del genere fate l’accesso al sito da browser senza usare link inclusi e verificate se le asserzioni sono vere.

Prudenza!

Mike Sciking

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *