Une nouvelle attaque par phishing vise les abonnés de PayPal

Cloud

Un site roumain tente de soutirer leurs mots de passe aux membres du service de paiement électronique d’Ebay.

Une nouvelle attaque par phishing vise les utilisateurs de PayPal en les redirigeant vers un site leurre afin de récupérer leurs mots de passe, nous apprend la firme de sécurité Websense Security Labs. Tout commence par l’envoi en masse d’un e-mail qui fournit un lien permettant de télécharger un fichier exécutable du nom de « PayPal Security Tool ».

Cet exécutable, baptisé « PayPal-2.5.200-MSWin32-x86- 2005.exe », est un cheval de Troie qui modifie le serveur DNS de la station de travail locale puis s’autodétruit. Toutes les requêtes ultérieures sont ensuite redirigées vers un site de phishing. Ce même serveur DNS pourrait être utilisé pour rediriger des requêtes vers d’autres services en ligne mais, en l’état actuel, il ne sert qu’à rediriger les membres de PayPal.

Demande de réactualisation

Chaque fois que l’utilisateur tentera de se connecter au site de PayPal, il arrivera automatiquement sur le site de phishing, même si l’URL apparaissant dans la barre du navigateur semble correcte. Lorsqu’il veut se connecter, une réactualisation de son compte sera automatiquement requise avec les informations suivantes : nom, carte de crédit, adresse de facturation, numéro de téléphone, numéro de sécurité sociale, nom de naissance, date d’anniversaire, permis de conduire et numéro de compte bancaire.

Ci-dessous, vous trouverez un exemple de phishing en anglais qui est utilisé :

« Security Measures – Are You Traveling? PayPal is committed to maintaining a safe environment for its community of buyers and sellers. To protect the security of your account, PayPal employs some of the most advanced security systems in the world and our anti-fraud teams regularly screen the PayPal system for unusual activity.

‘We recently noted one or more attempts to log in to your account from a foreign country. If you accessed your account while traveling, the attempt(s) may have been initiated by you.

‘Because the behavior was unusual for your account, we would like to take an extra step to ensure your security and you will now be taken through a series of identity verification pages. »

Actuellement, aucun distributeur d’antivirus n’a encore repéré ce cheval de Troie. Le serveur DNS malveillant est hébergé en Roumanie tandis que le serveur de phishing est localisé en Inde.

 

(Article traduit de Vnunet.com en date du 4 novembre 2005)