הדפס עמוד זה

משלמים ב-PayPal? היזהרו

ESET
19.05.20

בימים האחרונים, גל משמעותי של ניסיונות פישינג מופץ באמצעות מיילים ואסמסים מתחזים לחברת PayPal במטרה לגנוב פרטי אשראי

דיווחים רבים התקבלו בימים האחרונים על מיילים והודעות SMS הנשלחים כביכול מטעם חברת פייפאל (PayPal) במטרה לדלות פרטים אישיים מהמשתמשים.

שלבי גניבת פרטי אשראי בהתחזות:

הודעת ה-SMS אשר מופצת, הינה בשפה העברית ומבשרת על בעיה בחשבון הפייפאל. בהודעה זו קיימים מספר דברים אשר מגביר את אמינותה: שם השולח הוא Pay.Pal, מה שלחלק מהאנשים מחזק את האמינות לגבי זיהוי השולח.

 

Paypal1

הודעת פישינג ב-SMS

בלינק המקוצר באמצעות שירות קיצור הלינקים bit.ly, הכתובת היא https://bit.ly/paypla.
לינק כזה נראה אמין יחסית למרבית האנשים, אולם מי שישים לב יבחין בכך שהלינק נשלח לשירות של קיצור כתובות אינטרנט, במקרה זה שירות bit.ly, שנמצא בשימוש נפוץ בקרב עבריינים ובעיקר בנסיונות פישינג.
בנוסף לכך, ניתן לראות שבמקום paypal, כתוב paypla (החלפה של שתי האותיות האחרונות). החלפת האותיות הזו היא סוג של מתקפה מסוג Homoglyph, מתקפות בהן התוקף מנסה להטעות את המשתמשים על ידי החלפת תווים בכתובות בתווים שונים אך דומים למראה.

המיילים המתחזים נשלחו באופן עקבי יום אחרי יום, במטרה להיות משכנעים יותר ולהדגיש כי הפעולה החשובה של אישור החשבון טרם בוצעה.

ביום הראשון של ההתחזות:

1. במטרה לפתור את הבעיה מבקשים התוקפים במייל המתחזה מהנמענים להפעיל את החשבון שלהם על מנת לגשת לכל הנתונים.

Paypal2

2. לאחר שלחצו על כפתור ההפעלה במייל, מועברים לעמוד בו מזינים את המייל והסיסמה. יש לציין כי כל פרט שמקישים בשלב הזה הוא קביל, מה שמצביע על שמירת המידע המוזן לרשות התוקפים.

Paypal3

"התחברות לחשבון"

3. בדף הבא מתבקשים להשלים מידע הנוגע לכתובת האישית: שם מלא, כתובת, עיר, מיקוד ומספר טלפון.

Paypal4

מידע לגבי הכתובת: שם מלא, כתובת וטלפון

4. לאחר מכן, יש לעדכן את פרטי כרטיס האשראי בחשבון: שם בעל הכרטיס, מספר הכרטיס, תוקף וקוד ביטחון.

Paypal5

דף דליית נתוני כרטיס אשראי

5. לאחר השלמת כל הפרטים, מגיעים לעמוד הרשמי של פייפאל, ככל הנראה במטרה להגביר את האמינות של ההתקפה.

Paypal6

לאחר השלמת הפעולה, נחיתה בעמוד הרשמי של פייפאל

ביום השני של ההתחזות:

מבקשים מהמשתמשים "לחדש את הנתונים" כדי להפעיל מחדש את החשבון שהושבת לחלוטין. ניתן לראות כי השימוש כבר בכותרת הינו בשפה העברית אך הניסוח לקוי ("עליך לחדש את הנתונים שלך").

לאחר שנכנסים למייל, שפת הפניה היא כבר אינה עברית, אלא אנגלית. ניתן לשים לב כי הכתובת ממנה נשלח המייל אינה רשמית של פייפאל וזאת לפי דומיין הכתובת “migodkh1.com”.

Paypal7

מייל המתחזה לחברת PayPal

עושה רושם שהאתרים לא באמת בודקים את פרטי הכרטיס שהזנו, אך כן מוצגת הודעה כי פרטי הכרטיס לא נכון. כמובן שפרטי הכרטיסים, נכונים או לא, מתועדים בשרתי התוקפים. צירוף כל הפרטים של שם, מספר טלפון, כרטיס אשראי ומספר ת"ז מאפשרים לתוקפים להשתמש בפרטים או למכור אותם שנאספו על מנת לבצע בקלות רכישות על חשבון הקורבן.

בחברת אבטחת המידע ממליצים כי בכל מקרה בו מתקבלת הודעת דוא"ל מספק שירות כלשהו, חשוב מאוד להתחבר לאתר הספק בנפרד ולא מתוך הקישור בהודעה שהתקבלה ולבדוק האם קיימת בקשה לעדכון הפרטים. ניתן גם ליצור קשר טלפוני עם השירות ממנו כביכול נשלח המייל כדי להבין האם באמת יש צורך בעדכון פרטים בחשבון.

ניתן גם לשתף חבר >