Paypal: lo strano caso delle “transazioni recenti”

Security Awareness
9 Agosto 2018

In questi giorni, nelle caselle postali di alcuni utenti Paypal, è arrivato un messaggio che invita l’utente a rivedere le sue ultime transazioni.

L’avviso è ben scritto, la grafica è quella propria di Paypal, la formula di apertura riporta nome e cognome dell’utente, e, per rafforzare la sua credibilità, c’è anche un avviso contro le truffe online.

Ma, nonostante tutte queste premesse positive, si tratta di un messaggio che NON proviene da Paypal, e si rileva un caso di Phishing molto sofisticato, al punto da lasciare un po’ di mistero rispetto al suo modo di agire e quindi ai rischi reali che corre l’utente che cade nel tranello.

Come premessa è importante dire che Paypal non ha nulla a che vedere con questo tentativo truffaldino. Come sempre nei casi di “brand famosi”, sono i  criminali cyber che sfruttano la popolarità del marchio, molto diffuso soprattutto tra chi effettua acquisti online. Paypal mette inoltre a disposizione dei propri utenti, molte informazioni che aiutano a prevenire le frodi e anche un indirizzo mail a cui rivolgersi in caso di dubbio (spoof@paypal.it), anche se questo sito fornisce risposte solo in lingua inglese.

Lo strano caso di Phishing con mittente Paypal

Mail Phishing Paypal

L’utente riceve una mail che arriva apparentemente da Paypal, una mail che invita lo stesso a rivedere le sue ultime transazioni. Il messaggio è pieno di rimandi a collegamenti ipertestuali che servono a soddisfare questa richiesta. La mail contiene ben 8 collegamenti ipertestuali, con un mega bottone che invita l’utente ad “accedere al suo conto”.  C’è anche un riferimento diretto al sito www.paypal.it a cui collegarsi, anche se si tratta di un campo cliccabile.

Interessante il riferimento alle mail contraffatte. Un messaggio corretto rispetto alle tipiche analisi “anti-phishing”, come quello del “saluto generico”, ma assolutamente insufficiente per determinare se si tratta o meno di una mail contraffatta. E’ vero che nel phishing massivo (spray phishing) i criminali usano spesso formule di saluto generico, ma nel phishing mirato (spear phishing) i criminali ricorrono a formule di saluto corredate da nome e cognome, informazioni che registrano nei loro database. Anche questa frase si chiude con un collegamento ipertestuale, con la frase “scopri di più qui”, che può indurre l’utente a fidarsi della raccomandazione.

In un’analisi “anti-phishing” dobbiamo anche rilevare che il messaggio NON contiene quel criterio di urgenza o di pressione, che caratterizza la maggior parte delle mail contraffatte. La formula con cui si invita l’utente a cliccare non contiene nessuna forzatura legata a scadenze temporali o a possibili conseguenze.

La mail arriva da @mail.paypal.it, un dominio che rassicura l’utente anche più smaliziato (ricordiamo che l’analisi del mittente è una best practice per combattere il phishing). Dalle note di Sicurezza sul sito Paypal scopriamo invece che questo non è un dominio riferibile a Paypal. Leggendole attentamente si scopre che le uniche mail di provenienza Paypal sono quelle che arrivano da @paypal.it o da @e.paypal.it.

Ma il sospetto di un’azione truffaldina trova un evidente riscontro passando con il mouse sopra i vari collegamenti ipertestuali. Si nota infatti come tutti indirizzino verso un dominio diverso da quelli accreditati Paypal: epl.paypal-communication.com. Evidentemente questo dominio non può essere riferito a Paypal, anche se contiene “paypal” al suo interno.

La risposta Paypal

Inviando la mail per segnalazione a Paypal ci è tornata indietro la definitiva conferma che si trattava di una contraffazione. La provenienza della mail è riferibile a ciò che la società americana definisce un FAKE WEBSITE (sito falso).

Non è molto chiaro lo scopo di questa contraffazione. Le ipotesi sono due: ottenere la password per connettersi al conto Paypal (mail+password consentono infatti pieno accesso al conto online) oppure inoculare il dispositivo con un malware.  In questo senso bisogna dire che sottoponendo i collegamenti ipertestuali all’analisi di www.virustotal.com, otteniamo un ritorno di “Malicious site“.

Le nostre raccomandazioni

Come agire in questi casi?

Nel caso di siti come Paypal, o comunque di siti di natura bancaria e finanziaria, dove le credenziali vanno assolutamente protette, la raccomandazione principale è quella di non usare i collegamenti ipertestuali contenuti nella mail. La regola è di accedere da browser internet,  collegandosi direttamente al sito della società (in questo caso www.paypal.it) oppure usare le APP ufficiali (come nel caso della APP Paypal), quando disponibili.

Articoli correlati

Anche lo Sport è sotto attacco cyber

Anche lo Sport è sotto attacco cyber

Le violazioni al Bologna Calcio e allo Stadio San Siro. I pirati del gruppo RansomHub pubblicano su Dark Web alcuni dei documenti sottratti e chiedono al club di Serie A di pagare un riscatto. "Una delle brecce di dati più grandi della storia dello sport italiano”,...

leggi tutto