PayPal крадет личные данные пользователей

Исследователи компании Akamai недавно обнаружили фишинговую кампанию , нацеленную на пользователей PayPal , которая крадет большое количество личной информации жертв, включая паспорта и фотографии. Фишинг проводится на взломанных веб-сайтах WordPress , что позволяет злоумышленнику избежать обнаружения.

Киберпреступник нацеливается на плохо защищенные веб-сайты и взламывает их вход в систему, используя список распространенных пар учетных данных, найденных в Интернете. Хакер использует этот доступ для установки модуля управления файлами, который позволяет загружать набор для фишинга на взломанный сайт. По словам Akamai, один из методов избежания обнаружения заключается в перекрестной ссылке IP-адресов на домены определенных ИБ-компаний.

Фишинговая страница максимально имитирует официальный сайт PayPal. Мошенник использует файл «.htaccess» для перезаписи URL-адреса, чтобы он не заканчивался расширением файла PHP. Это добавляет более правдоподобный вид, который придает легитимность. Кроме того, все GUI-элементы в формах стилизованы под тему PayPal, поэтому фишинговые страницы выглядят аутентично.

• Фишинг начинается с поддельной проверки CAPTCHA;
• Далее жертве предлагается войти в свою учетную запись PayPal с помощью адреса электронной почты и пароля, которые автоматически передаются злоумышленнику;
• Под предлогом «подозрительной активности» учетной записи жертвы, киберпреступник запрашивает дополнительную информацию для проверки;
• Затем жертву просят предоставить личные и платежные данные, включая данные банковской карты, CVV-код карты, адрес, номер социального страхования, девичью фамилию матери. Помимо данных карты здесь также требуется PIN-код карты;
• Далее мошенник просит жертву связать свой e-mail с PayPal, чтобы получить токен для доступа к электронной почте пользователя;
• Затем жертву просят загрузить документы, удостоверяющие личность для подтверждения действий (паспорт, национальное удостоверение личности или водительские права). Загрузка сопровождается конкретными инструкциями, такими же, как у PayPal или любого другого сервиса.

Киберпреступник может использовать всю эту информацию для различных незаконных действий:

• кража личных данных;
• отмывание денег (создание счетов в криптовалюте или регистрация компаний);
• анонимные покупки;
• захват банковских счетов;
• клонирование платежных карт;
• и многие другие преступные действия.

«Загрузка государственных документов и селфи для их проверки — это более опасная угроза для жертвы, чем просто потеря информации о кредитной карте, эти данные можно использовать для создания торговых счетов в криптовалюте от имени жертвы. Затем их можно использовать для отмывания денег, уклонения от уплаты налогов или обеспечения анонимности для других киберпреступлений», - заявила Akamai.

Исследователи обнаружили, что функция загрузки файлов содержит уязвимость, которую можно использовать для загрузки веб-шелла и получения контроля над скомпрометированным веб-сайтом.

Учитывая огромное количество запрашиваемой информации, мошенничество может показаться очевидным. Однако, по словам исследователей Akamai, именно этот элемент социальной инженерии делает фишинг успешным.

«В наши дни люди судят о брендах и компаниях по их мерам безопасности», — говорят исследователи. Использование CAPTCHA с самого начала сигнализирует о наличии дополнительной проверки. Используя методы настоящих сервисов, злоумышленник укрепляет доверие жертвы.

В 2021 году от кражи личных данных пострадали 42 млн. человек, а общий ущерб составил $52 млрд. Для избежания потери данных пользователям рекомендуется внимательно проверять доменное имя страницы, запрашивающей конфиденциальную информацию, а также не указывать данные карты на сторонних сайтах.