משתמשים ב-PayPal? היזהרו - גל משמעותי של ניסיונות פישינג ב-2 מיילים וב-SMS מתחזים
מאת:
מערכת Telecom News, 20.5.20, 14:31
תיאור הודעת ה-SMS ופירוט 2 המיילים הנשלחים לקורבנות ושלבי הנפילה בפח שלב אחר שלב.
בימים האחרונים התקבלו בחברת אבטחת המידע
ESET דיווחים על מיילים והודעות
SMS הנשלחים כביכול מטעם חברת פייפאל (
PayPal) כדי לדלות פרטים אישיים מהמשתמשים.
הודעת ה-
SMS המופצת, היא בשפה העברית ומבשרת על בעיה בחשבון הפייפאל. בהודעה זו קיימים מספר דברים המגבירים את אמינותה: שם השולח הוא
Pay.Pal, מה שלחלק מהאנשים מחזק את האמינות לגבי זיהוי השולח.
הודעת פישינג ב-
:SMS
בלינק המקוצר באמצעות שירות קיצור הלינקים
bit.ly, הכתובת היא
https://bit.ly/paypla.
ניתן לראות, שבמקום
paypal, כתוב
paypla (החלפה של 2 האותיות האחרונות). החלפת האותיות הזו היא סוג של מתקפה מסוג
Homoglyph, מתקפות בהן התוקף מנסה להטעות את המשתמשים ע"י החלפת תווים בכתובות בתווים שונים אך דומים למראה.
המיילים המתחזים נשלחו באופן עקבי יום אחרי יום, כדי להיות משכנעים יותר ולהדגיש כי הפעולה החשובה של אישור החשבון טרם בוצעה.
במייל הראשון, כדי לפתור את הבעיה מבקשים התוקפים במייל המתחזה מהנמענים להפעיל את החשבון שלהם כדי לגשת לכל הנתונים.
לאחר שלחצו על כפתור ההפעלה במייל, מועברים לעמוד בו מזינים את המייל והסיסמה. יש לציין, שכל פרט, שמקישים בשלב הזה, הוא קביל, מה שמצביע על שמירת המידע המוזן לרשות התוקפים.
"התחברות לחשבון":
בדף הבא מתבקשים להשלים מידע הנוגע לכתובת האישית: שם מלא, כתובת, עיר, מיקוד ומספר טלפון.
מידע לגבי הכתובת: שם מלא, כתובת וטלפון:
לאחר מכן, יש לעדכן את פרטי כרטיס האשראי בחשבון: שם בעל הכרטיס, מספר הכרטיס, תוקף וקוד ביטחון.
דף דליית נתוני כרטיס אשראי:
לאחר השלמת כל הפרטים, מגיעים לעמוד הרשמי של פייפאל, ככל הנראה במטרה להגביר את האמינות של ההתקפה.
לאחר השלמת הפעולה, נחיתה בעמוד הרשמי של פאיפאל:
במייל השני מבקשים מהמשתמשים "לחדש את הנתונים" כדי להפעיל מחדש את החשבון שהושבת לחלוטין. ניתן לראות, שהשימוש כבר בכותרת הוא בשפה העברית אך הניסוח לקוי ("עליך לחדש את הנתונים שלך").
לאחר שנכנסים למייל, שפת הפניה היא כבר אינה עברית, אלא אנגלית. ניתן לשים לב, שהכתובת ממנה נשלח המייל אינה רשמית של פייפאל וזאת לפי דומיין הכתובת
“migodkh1.com”.
מייל המתחזה לחברת
PayPal:
חברת אבטחת המידע
ESET ישראל: "עושה רושם, שהאתרים לא באמת בודקים את פרטי הכרטיס שהזנו, אך כן מוצגת הודעה, שפרטי הכרטיס לא נכונים. כמובן שפרטי הכרטיסים, נכונים או לא, מתועדים בשרתי התוקפים. צירוף כל הפרטים של שם, מספר טלפון, כרטיס אשראי ומספר ת"ז מאפשרים לתוקפים להשתמש בפרטים או למכור אותם, כי הם נאספו כדי לבצע בקלות רכישות על חשבון הקורבן.
בכל מקרה בו מתקבלת הודעת דוא"ל מספק שירות כלשהו, חשוב מאוד להתחבר לאתר הספק בנפרד ולא מתוך הקישור בהודעה שהתקבלה ולבדוק האם קיימת בקשה לעדכון הפרטים. ניתן גם ליצור קשר טלפוני עם השירות ממנו כביכול נשלח המייל כדי להבין האם באמת יש צורך בעדכון פרטים בחשבון".