Ένα νέο PayPal phishing kit μαστίζει παραβιασμένους ιστότοπους WordPress κλέβοντας στοιχεία ταυτότητας και έγγραφα κυβέρνησης.
Ένα phishing kit που ανακαλύφθηκε πρόσφατα στοχεύει χρήστες του PayPal και προσπαθεί να κλέψει ένα μεγάλο σύνολο προσωπικών πληροφοριών από τα θύματα στο οποίο περιλαμβάνονται έγγραφα ταυτότητας της κυβέρνησης και φωτογραφίες.
Πάνω από 400 εκατομμύρια άτομα και εταιρείες χρησιμοποιούν το PayPal ως μια διαδικτυακή λύση πληρωμής.
Το kit φιλοξενείται σε νόμιμους ιστότοπους WordPress που έχουν παραβιαστεί, γεγονός που του επιτρέπει να αποφύγει τον εντοπισμό σε κάποιο βαθμό.
Ερευνητές της εταιρείας τεχνολογίας διαδικτύου Akamai βρήκαν το phishing kit αφού ο φορέας το έβαλε στο WordPress τους.
Ο παράγοντας απειλών στοχεύει κακώς ασφαλισμένους ιστότοπους και εκτελεί σύνδεση με brute force χρησιμοποιώντας μια λίστα κοινών ζευγών credentials που βρίσκονται στο διαδίκτυο. Χρησιμοποιούν αυτήν την πρόσβαση για να εγκαταστήσουν ένα plugin διαχείρισης αρχείων που επιτρέπει τη μεταφόρτωση του phishing kit στον ιστότοπο που έχει παραβιαστεί.
To Akamai ανακάλυψε ότι μια μέθοδος που χρησιμοποιεί το phishing kit για να αποφύγει τον εντοπισμό είναι η διασταύρωση διευθύνσεων IP σε domains που ανήκουν σε ένα συγκεκριμένο σύνολο εταιρειών, συμπεριλαμβανομένων ορισμένων οργανισμών στον κλάδο της κυβερνοασφάλειας.
Δείτε επίσης: PayPal: Επιτρέπει τη μεταφορά crypto σε εξωτερικά wallets
Οι ερευνητές παρατήρησαν ότι ο συγγραφέας του phishing kit έκανε μια προσπάθεια να κάνει τη ψεύτικη σελίδα να φαίνεται επαγγελματική και να μιμείται την αρχική τοποθεσία του PayPal όσο το δυνατόν περισσότερο.
Μια πτυχή που παρατήρησαν ήταν ότι ο συγγραφέας χρησιμοποιεί το htaccess για να ξαναγράψει τη διεύθυνση URL έτσι ώστε να μην τελειώνει με την επέκταση του αρχείου PHP. Αυτό προσθέτει σε μια πιο καθαρή, πιο γυαλισμένη εμφάνιση που προσδίδει νομιμότητα.
Επίσης, όλα τα στοιχεία γραφικής διεπαφής στις φόρμες έχουν στυλ σύμφωνα με το θέμα του PayPal, έτσι ώστε οι σελίδες phishing να έχουν μια φαινομενικά αυθεντική εμφάνιση.
Η κλοπή των προσωπικών δεδομένων ενός θύματος ξεκινά με την παρουσίαση ενός ερωτήματος CAPTCHA, ένα βήμα που δημιουργεί μια ψευδή αίσθηση νομιμότητας.
Μετά από αυτό το στάδιο, το θύμα καλείται να συνδεθεί στον λογαριασμό του στο PayPal χρησιμοποιώντας τη διεύθυνση email και τον κωδικό πρόσβασής του, τα οποία παραδίδονται αυτόματα στον παράγοντα απειλής.
Αυτό δεν είναι όλο, όμως. Με το πρόσχημα της «ασυνήθιστης δραστηριότητας» που σχετίζεται με τον λογαριασμό του θύματος, ο ηθοποιός της απειλής ζητά περισσότερες πληροφορίες επαλήθευσης.
Σε επόμενη σελίδα, το θύμα καλείται να παράσχει μια σειρά από προσωπικά και οικονομικά στοιχεία που περιλαμβάνουν δεδομένα κάρτας πληρωμής μαζί με τον κωδικό επαλήθευσης της κάρτας, τη φυσική διεύθυνση, τον αριθμό κοινωνικής ασφάλισης, το πατρικό όνομα της μητέρας.
Φαίνεται ότι το PayPal phishing kit κατασκευάστηκε για να αποκτά όλες τις προσωπικές πληροφορίες του θύματος. Εκτός από τα δεδομένα της κάρτας που συνήθως συλλέγονται σε απάτες ηλεκτρονικού ψαρέματος, αυτό απαιτεί επίσης τον αριθμό κοινωνικής ασφάλισης, το πατρικό όνομα της μητέρας, ακόμη και τον αριθμό PIN της κάρτας για συναλλαγές σε μηχανήματα ATM.
Η συλλογή τόσο πολλών πληροφοριών δεν είναι τυπική για τα phishing kits. Ωστόσο, αυτό προχωρά ακόμη παραπέρα και ζητά από τα θύματα να συνδέσουν τον λογαριασμό email τους με το PayPal. Αυτό θα έδινε στον εισβολέα ένα token που θα μπορούσε να χρησιμοποιηθεί για πρόσβαση στα περιεχόμενα της παρεχόμενης διεύθυνσης email.
Παρά το γεγονός ότι έχει συλλέξει τεράστιο όγκο προσωπικών πληροφοριών, ο φορέας της απειλής δεν έχει τελειώσει. Στο επόμενο βήμα, ζητούν από το θύμα να ανεβάσει τα επίσημα έγγραφα ταυτότητάς του για να επιβεβαιώσει την ταυτότητά του.
Τα αποδεκτά έγγραφα είναι διαβατήριο, εθνική ταυτότητα ή άδεια οδήγησης και η διαδικασία μεταφόρτωσης συνοδεύεται από συγκεκριμένες οδηγίες, όπως ακριβώς θα ζητούσε το PayPal ή μια νόμιμη υπηρεσία από τους χρήστες τους.
Οι εγκληματίες του κυβερνοχώρου θα μπορούσαν να χρησιμοποιήσουν όλες αυτές τις πληροφορίες για μια ποικιλία παράνομων δραστηριοτήτων, που κυμαίνονται από οτιδήποτε σχετίζεται με κλοπή ταυτότητας έως ξέπλυμα χρήματος (π.χ. δημιουργία λογαριασμών συναλλαγών crypto, εγγραφή εταιρειών) και διατήρηση της ανωνυμίας κατά την αγορά υπηρεσιών έως την ανάληψη τραπεζικών λογαριασμών ή την κλωνοποίηση καρτών πληρωμής.
Δείτε επίσης: Η PayPal προχωρά σε απολύσεις υπαλλήλων για να μειώσει το κόστος
Η μεταφόρτωση κρατικών εγγράφων και η λήψη μιας selfie για την επαλήθευση τους είναι μεγαλύτερο ρίσκο για ένα θύμα από το να χάσει απλώς τα στοιχεία της πιστωτικής κάρτας — θα μπορούσε να χρησιμοποιηθεί για τη δημιουργία λογαριασμών συναλλαγών crypto με το όνομα του θύματος. Αυτά θα μπορούσαν στη συνέχεια να χρησιμοποιηθούν για ξέπλυμα χρήματος, φοροδιαφυγή ή παροχή ανωνυμίας για άλλα εγκλήματα στον κυβερνοχώρο.
Αν και το PayPal phishing kit φαίνεται εξελιγμένο, οι ερευνητές ανακάλυψαν ότι η δυνατότητα αποστολής αρχείων συνοδεύεται από μια ευπάθεια που θα μπορούσε να εκμεταλλευτεί κανείς για τη μεταφόρτωση ενός web shell και τον έλεγχο του παραβιασμένου ιστότοπου.
Με την προϋπόθεση του τεράστιου όγκου πληροφοριών που ζητούνται, η απάτη μπορεί να φαίνεται προφανής σε ορισμένους χρήστες. Ωστόσο, οι ερευνητές του Akamai πιστεύουν ότι αυτό το συγκεκριμένο στοιχείο κοινωνικής μηχανικής είναι αυτό που κάνει το kit επιτυχημένο.
Εξηγούν ότι η επαλήθευση ταυτότητας είναι φυσιολογική αυτές τις μέρες και αυτό μπορεί να γίνει με πολλούς τρόπους. «Οι άνθρωποι κρίνουν τις μάρκες και τις εταιρείες για τα μέτρα ασφαλείας τους αυτές τις μέρες», λένε οι ερευνητές.
Η χρήση της πρόκλησης captcha σηματοδοτεί από την αρχή ότι ενδέχεται να αναμένεται πρόσθετη επαλήθευση. Χρησιμοποιώντας τις ίδιες μεθόδους με τις νόμιμες υπηρεσίες, ο παράγοντας της απειλής εδραιώνει την εμπιστοσύνη του θύματος.
Συνιστάται στους χρήστες να ελέγχουν το όνομα domain μιας σελίδας που ζητά ευαίσθητες πληροφορίες. Μπορούν επίσης να μεταβούν στην επίσημη σελίδα της υπηρεσίας, πληκτρολογώντας την χειροκίνητα στο πρόγραμμα περιήγησης, για να ελέγξουν εάν η επαλήθευση ταυτότητας είναι σωστή.
Πηγή: bleepingcomputer.com
