eBay PIRATE, faux formulaire PayPal
Le
Sylvain SF
Pour information:
l'accès à PayPal depuis les liens disponibles sur les pages eBay (tel
les liens "Afficher la transaction PayPal") sont actuellement vérolés.
ces liens conduisent au vrai site PayPal où les noms (email) et mot de
passe sont saisis, puis *quelque soit le mot de passe saisi* un
formulaire pirate est affiché.
ce formulaire apparait en anglais même si vous étiez sur PayPal France,
il vous demande notamment le code PIN de votre carte bancaire et votre
numéro de sécurité sociale.
il apparait de plus correctement servi en SSL par PayPal, pour autant il
ne peut être que ILLEGALE.
ce type d'attaque était récemment discuté ici (fr.comp.securité), il est
navrant (pas peu surprenant) de constater que PayPal ne se protège pas
mieux.
Sylvain.
l'accès à PayPal depuis les liens disponibles sur les pages eBay (tel
les liens "Afficher la transaction PayPal") sont actuellement vérolés.
ces liens conduisent au vrai site PayPal où les noms (email) et mot de
passe sont saisis, puis *quelque soit le mot de passe saisi* un
formulaire pirate est affiché.
ce formulaire apparait en anglais même si vous étiez sur PayPal France,
il vous demande notamment le code PIN de votre carte bancaire et votre
numéro de sécurité sociale.
il apparait de plus correctement servi en SSL par PayPal, pour autant il
ne peut être que ILLEGALE.
ce type d'attaque était récemment discuté ici (fr.comp.securité), il est
navrant (pas peu surprenant) de constater que PayPal ne se protège pas
mieux.
Sylvain.
Poser une question
le formulaire pirate apparait maintenant également depuis PayPal
scénario:
- accès par www.paypal.com
réponse de "https://www.paypal.com/" avec une page en français
et mini-formulaire de connexion pré-rempli pour le champ
"Adresse email".
- saisi d'un mot de passe bidon et validation
un formulaire pirate est retourné.
soit ma machine est infestée, soit PayPal a un problème.
pour ma machine recevant le faux formulaire, elle est protégée par
Zone Alarm, le pare-feu windows (XP SP3) et Avira Antivir premium
8.1.0.344, elle n'abrite aucun process louche, aucun process
récent non plus.
se peut-il, avez-vous vu, qu'un malware local substitue les pages
affichées par IE ? (selon IE la page est correctement reçue en SSL
dans une session utilisant un cert signé pour www.paypal.com alors
que toutes les images de cette page pirate sont téléchargées depuis
www.paypalobjects.com)
pour PayPal, leur support semble réagir assez vite (pour une fois)
et le temps que je rédige ce post, 2 emails de réponses indiquent
qu'ils regardent le problème (sans pour autant le confirmer, ni
l'infirmer).
Sylvain.
paypal: ebay:
(les URL affichées n'ont pas été forgées à la main
pour la capture).
Sylvain.
Si vous parlez de la faille openssl chez debian:
les certificats SSL de www.paypal.com et signin.ebay.com
ne semblent pas concernés, et les serveurs non plus
(d'après leurs headers HTTP).
J'essaierais avec un autre navigateur pour déterminer si
c'est un problème IE local.
AC
Toute tentative de connexion depuis paypal.fr me renvoie sur
paypal.com et aboutit à :
https://www.paypal.com/fr/cgi-bin/w...atchX905d8
0a13c0db...
Et le login m'enoie ensuite sur mon compte. Pad de pb avec Safari
sous Mac OS X 10.5.3
--
Benoit Leraillez
Seuls les idéaux ne changent pas d'avis.
non je pensais à des attaques mélant phishing et injection de code.
c'était peut être sur zataz.com et non sur ce groupe.
le même problème apparait non systématiquement (*) avec FireFox.
(*) non systématiquement car PayPal (comme eBay) a de nombreux serveurs,
hier des pages venant de 66.211.168.97 contenaient le formulaire pirate
tandis que celles venant de 66.211.168.65 étaient saines.
cet après-midi, paypal utilise aussi 64.4.241.49, 216.113.188.65 et
d'autres IP dans 66.211.168.*, la plupart sont sains mais j'ai eu
quelques pages avec le formulaire piège.
Sylvain.