eBay PIRATE, faux formulaire PayPal

Le
Sylvain SF
Pour information:

l'accès à PayPal depuis les liens disponibles sur les pages eBay (tel
les liens "Afficher la transaction PayPal") sont actuellement vérolés.

ces liens conduisent au vrai site PayPal où les noms (email) et mot de
passe sont saisis, puis *quelque soit le mot de passe saisi* un
formulaire pirate est affiché.

ce formulaire apparait en anglais même si vous étiez sur PayPal France,
il vous demande notamment le code PIN de votre carte bancaire et votre
numéro de sécurité sociale.

il apparait de plus correctement servi en SSL par PayPal, pour autant il
ne peut être que ILLEGALE.

ce type d'attaque était récemment discuté ici (fr.comp.securité), il est
navrant (pas peu surprenant) de constater que PayPal ne se protège pas
mieux.

Sylvain.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 6
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Sylvain SF
Le #6756121
ça s'agrave !

le formulaire pirate apparait maintenant également depuis PayPal
scénario:

- accès par www.paypal.com

réponse de "https://www.paypal.com/" avec une page en français
et mini-formulaire de connexion pré-rempli pour le champ
"Adresse email".

- saisi d'un mot de passe bidon et validation

un formulaire pirate est retourné.


soit ma machine est infestée, soit PayPal a un problème.


pour ma machine recevant le faux formulaire, elle est protégée par
Zone Alarm, le pare-feu windows (XP SP3) et Avira Antivir premium
8.1.0.344, elle n'abrite aucun process louche, aucun process
récent non plus.

se peut-il, avez-vous vu, qu'un malware local substitue les pages
affichées par IE ? (selon IE la page est correctement reçue en SSL
dans une session utilisant un cert signé pour www.paypal.com alors
que toutes les images de cette page pirate sont téléchargées depuis
www.paypalobjects.com)

pour PayPal, leur support semble réagir assez vite (pour une fois)
et le temps que je rédige ce post, 2 emails de réponses indiquent
qu'ils regardent le problème (sans pour autant le confirmer, ni
l'infirmer).

Sylvain.
Sylvain SF
Le #6756161
la redirection est aléatoire mais récurrente:

paypal: ebay:
(les URL affichées n'ont pas été forgées à la main
pour la capture).

Sylvain.
A\. Caspis
Le #6756661
Sylvain SF wrote:
l'accès à PayPal depuis les liens disponibles sur les pages eBay (tel
les liens "Afficher la transaction PayPal") sont actuellement vérolés.
[...]

ce type d'attaque était récemment discuté ici (fr.comp.securité), il est
navrant (pas peu surprenant) de constater que PayPal ne se protège pas
mieux.


Si vous parlez de la faille openssl chez debian:
les certificats SSL de www.paypal.com et signin.ebay.com
ne semblent pas concernés, et les serveurs non plus
(d'après leurs headers HTTP).

J'essaierais avec un autre navigateur pour déterminer si
c'est un problème IE local.

AC

jenaipasdemail
Le #6756961
Sylvain SF
ces liens conduisent au vrai site PayPal où les noms (email) et mot de
passe sont saisis, puis *quelque soit le mot de passe saisi* un
formulaire pirate est affiché.


Toute tentative de connexion depuis paypal.fr me renvoie sur
paypal.com et aboutit à :
https://www.paypal.com/fr/cgi-bin/webscr?cmd=_login-run&dispatchX905d8
0a13c0db...

Et le login m'enoie ensuite sur mon compte. Pad de pb avec Safari
sous Mac OS X 10.5.3

--
Benoit Leraillez

Seuls les idéaux ne changent pas d'avis.

Sylvain SF
Le #6759331
A. Caspis wrote on 02/06/2008 08:26:

Si vous parlez de la faille openssl chez debian:


non je pensais à des attaques mélant phishing et injection de code.
c'était peut être sur zataz.com et non sur ce groupe.

J'essaierais avec un autre navigateur pour déterminer si
c'est un problème IE local.


le même problème apparait non systématiquement (*) avec FireFox.


(*) non systématiquement car PayPal (comme eBay) a de nombreux serveurs,
hier des pages venant de 66.211.168.97 contenaient le formulaire pirate
tandis que celles venant de 66.211.168.65 étaient saines.

cet après-midi, paypal utilise aussi 64.4.241.49, 216.113.188.65 et
d'autres IP dans 66.211.168.*, la plupart sont sains mais j'ai eu
quelques pages avec le formulaire piège.

Sylvain.

Julien Vehent
Le #6759691
On 2 juin, 15:19, Sylvain SF
A. Caspis wrote on 02/06/2008 08:26:



Si vous parlez de la faille openssl chez debian:


non je pensais à des attaques mélant phishing et injection de code.
c'était peut être sur zataz.com et non sur ce groupe.

J'essaierais avec un autre navigateur pour déterminer si
c'est un problème IE local.


le même problème apparait non systématiquement (*) avec FireFox.

(*) non systématiquement car PayPal (comme eBay) a de nombreux serveurs,
hier des pages venant de 66.211.168.97 contenaient le formulaire pirate
tandis que celles venant de 66.211.168.65 étaient saines.

cet après-midi, paypal utilise aussi 64.4.241.49, 216.113.188.65 et
d'autres IP dans 66.211.168.*, la plupart sont sains mais j'ai eu
quelques pages avec le formulaire piège.

Sylvain.


Ce qui laisserais entendre que ce sont les serveurs chez PayPal qui
sont infectés, et non pas le poste en local...
Il est confirmé que le formulaire qui demande le code pin et le SSN
est bien un formulaire pirate ? Il peut également s'agir d'une fraude
interne à PayPal...


Paul Gaborit
Le #6760211
À (at) 02 Jun 2008 15:01:06 GMT,
Julien Vehent
Ce qui laisserais entendre que ce sont les serveurs chez PayPal qui
sont infectés, et non pas le poste en local...


Ça peut être le fichier 'hosts' de la machine locale ou encore le
serveur DNS du réseau local (ou du fournisseur d'accès) qui ont été
modifiés.

Franchement cela m'étonnerait beaucoup que des serveurs PayPal ou eBay
soient piratés *et* restent en ligne aussi longtemps sans être
détectés !

--
Paul Gaborit -
Sylvain SF
Le #6760201
Julien Vehent wrote on 02/06/2008 17:01:

Il est confirmé que le formulaire qui demande le code pin et le SSN
est bien un formulaire pirate ? Il peut également s'agir d'une fraude
interne à PayPal...


le support de PayPal m'a répondu qu'il investiguait, évidemment il n'a
pas répondu "certes en effet nous sommes piratés" et je ne m'attends pas
à ce qu'il le fasse (parce que pour l'heure ce n'est pas démontré et
parce que ce ne serait pas l'habitude).

tout porte à croire que le formulaire est "pirate" dans le sens "non
légitime", parmi les nombreux indices: a) un copyright "1999-2005" de
la page (non visible sur mes copies d'écran car tout en bas de la page),
b) un texte en anglais alors que tout le site est localisé selon le
language préférentiel de l'internaute c) des infos inutiles à la gestion
par PayPal et jamais réclamé (à l'ouverture d'un compte) par eux, comme
le code PIN ou un numéro de sécu (info sûrement utiles pour créer des
comptes usurpés chez des crédits en ligne - et encore le code PIN ?...)

concernant sa provenance, une malvaillance interne est, bien sur,
possible et peut également être l'explication la plus simple.

je n'exclue pas non plus l'exploitation d'une faille locale car FireFox
m'envoie une page supposée bidon tous +/- 30 essais, alors que IE tourne
à près d'un sur 2; même si leur gestion de cache des DNS en est sûrement
la cause.

Sylvain.

Eric Razny
Le #6760831
Le Mon, 02 Jun 2008 15:40:24 +0000, Paul Gaborit a écrit :

Franchement cela m'étonnerait beaucoup que des serveurs PayPal ou eBay
soient piratés *et* restent en ligne aussi longtemps sans être
détectés !


Quand il y a eu des brèches (même plus des failles) énormes dans bind il
était plutôt affolant de voir le nombre de grosses boites qui sont
restée fort longtemps bien ouvertes...

--
Eric

Sylvain SF
Le #6763271
Paul Gaborit wrote on 02/06/2008 17:40:
À (at) 02 Jun 2008 15:01:06 GMT,
Julien Vehent
Ce qui laisserais entendre que ce sont les serveurs chez PayPal qui
sont infectés, et non pas le poste en local...


Ça peut être le fichier 'hosts' de la machine locale ou encore le
serveur DNS du réseau local (ou du fournisseur d'accès) qui ont été
modifiés.


le fichier host local ne définit pas le domaine paypal.com, la trucbox
a peut être un cache (quoique FireFox obtient quasiment jamais 2 fois
la même IP - IE ne permet pas de connaitre l'IP contactée), le DNS de
wanadoo peut aussi être corrompu ... cela fait bcp d'hypothèses externe
à l'attaque (ie à la compagnie eBay/PayPal qui concentre +/- les 2/3 des
attaques courantes).

cette hypothèse de corruption d'un DNS - qui provoquerait le renvoi
vers un site externe à cette compagnie - ne me parait pas vérifiée.

tout d'abord parce que sans *aucun* cookie PayPal sur la machine,
un lien vers PayPal depuis eBay fait apparaitre la page de login
PayPal avec la bonne adresse email (identifica,t du compte) dans
un input hidden du formulaire.

ensuite la page de saisie du mot de passe du compte, puis celle du
formulaire suspect sont servis en SSL v.3 chiffrées par une clé
échangée via un cert émis par VeriSign (cert n° 11 2a 00 6d 37 e5
10 6f d6 ca 7c c3 ef ba cc 18) pour le domaine www.paypal.com
(n° 6e 6b 9c a3 f7 52 35 b4 95 37 86 d4 e5 13 54 a9).

soit la clé de ce cert a été forgée et un faux site l'utilise, soit
c'est bien un serveur en lien avec cette clé qui envoie les pages.

dernier point et comme indiqué, dans le même range appartenant (selon
le whois de verisign) à "eBay, Inc" [1] certaines IP ne donnent pas
cette page (eg 66.211.168.65) tandis que d'autres (66.211.168.97)
donnent cette page.

[1] eBay possède le range: 66.211.160.0 - 66.121.191.255
et: 216.113.160.0 - 216.113.191.255
PayPal possède le range: 64.4.240.0 - 64.4.225.255
(peut être également d'autres).

Franchement cela m'étonnerait beaucoup que des serveurs PayPal ou eBay
soient piratés *et* restent en ligne aussi longtemps sans être
détectés !


ben oui, mais !... professionnellement j'ai souvent besoin d'être
connecté sur ces sites (ebay et paypal) en manuel (form html) ou
via leurs APIs; je n'ai vu apparaitre le problème qu'hier en soirée
(vers 23h00, mon 1ier post étant envoyé 2h plus tard); la détection
n'étant jamais instantanée on pouvait imaginer que la confirmation
puis la réparation prenne quelque temps, mais 24h commencent à faire
beaucoup, or ...

connectez-vous, pour voir, sur 66.211.168.97 (ce site est toujours
en ligne à 23h43), saississez un email et pwd quelconque (et bidon)
après 10 à 15 sec. le formulaire suspect est retourné (le login
normal aboutit à une page de redirection après 3 à 6 sec.).

merci pour une éventuelle confirmation de la présence de ce form,
j'arreterais de chercher sur ma machine un vilain fantôme que je
pense non présent.

Sylvain.


Publicité
Poster une réponse
Anonyme