Sélectionner une page


Une campagne de phishing PayPal attire les victimes vers un site Web piraté où un clone de la page de connexion PayPal tente d’inciter les utilisateurs à révéler leurs informations d’identification PayPal, les détails de leur carte de paiement et … un selfie de l’utilisateur avec sa carte d’identité.

L’escroc derrière cette opération, portée à l’attention de Bleeping Computer par les chercheurs en sécurité de PhishMe, s’appuie sur des courriers indésirables pour diriger les utilisateurs vers un site de phishing PayPal hébergé sur un site WordPress néo-zélandais compromis.

Au moment de la rédaction de cet article, la page de phishing avait été supprimée. Suivant un modèle classique pour les sites de phishing, les utilisateurs qui sont venus sur cette page ont été invités à se connecter avec leurs identifiants PayPal.

Aucune tentative n’a été faite pour falsifier l’URL du navigateur. Ainsi, si les utilisateurs avaient de l’expérience avec les sites de phishing, ils auraient immédiatement remarqué qu’ils se trouvaient sur une page avec la mauvaise adresse.

Un escroc cupide veut plus de données

Une fois que les utilisateurs ont entré leurs identifiants, l’escroc n’était pas satisfait. À ce stade, il était évident qu’il avait affaire à un utilisateur inattentif ou non formé. Donc, ce phisher décide de faire tapis et de demander plus de données. Au cours d’un processus en quatre étapes, l’attaque demande l’adresse de l’utilisateur, les détails de la carte de paiement et une photo de l’utilisateur tenant sa carte d’identité.

Page de phishing PayPal demandant un selfie

On ne sait pas pourquoi l’escroc demanderait cette information. Expert PhishMe Chris Sims croit Il s’agit de « créer des comptes de crypto-monnaie pour blanchir l’argent volé aux victimes ».

Une tactique similaire a été observée l’année dernière

Cette tactique consistant à demander à un utilisateur un selfie tout en tenant sa carte d’identité a déjà été vue. En octobre 2016McAfee a découvert une variante du cheval de Troie bancaire Acecard Android qui demandait aux utilisateurs de prendre un selfie avec leur identifiant lorsqu’ils se connectaient à leurs comptes bancaires mobiles.

La tactique était assez innovante à l’époque et a reçu beaucoup de couverture médiatique. Il est plausible que l’auteur de cette escroquerie de phishing soit tombé sur ce problème et ait décidé de l’adapter à son opération de phishing.

La manière dont le processus de « téléchargement de selfie » a été implémenté est également étrange. Au lieu de compter sur WebRTC ou Flash pour accéder à la webcam de l’utilisateur pour prendre une photo et l’enregistrer automatiquement dans le formulaire, l’escroc invite les utilisateurs à télécharger une photo depuis leur ordinateur. Cela signifie plus d’efforts car l’utilisateur doit prendre un selfie, le transférer sur le PC, puis le télécharger sur le site de l’escroc. Prolonger l’attaque de cette manière donnera à l’utilisateur plus de temps pour remarquer que quelque chose ne va pas avec le faux site PayPal.

Il y a aussi un deuxième problème. Les sites de phishing n’ont généralement pas de règles de validation de formulaire. Tous les utilisateurs qui entrent dans les formulaires sont pris en compte. Ce phisher s’est échappé de ce formulaire et a écrit des règles de validation de formulaire spéciales pour s’assurer que l’utilisateur télécharge la photo au format JPEG, JPG ou PNG.

L’escroc a également commis des erreurs. La photo de l’utilisateur n’est pas stockée sur un serveur sous le contrôle de l’escroc, mais envoyée à une adresse e-mail sous « oxigène »[.]007 @ yandex[.]Avec. »

Sims dit qu’il a cherché cette adresse dans l’annuaire des utilisateurs de Skype et a trouvé qu’elle était enregistrée auprès d’une personne nommée « najat zou » à « Mansac, France ». Bien que ces informations ne soient pas fiables pour déterminer la nationalité ou la localisation de l’utilisateur, elles fournissent aux chercheurs un premier indice qu’ils peuvent utiliser pour traquer le phisher si les forces de l’ordre décidaient d’enquêter plus avant sur cette affaire.

Crédit d’image: PhishMe



Source link

Recent Posts