l'accès à PayPal depuis les liens disponibles sur les pages eBay (tel
les liens "Afficher la transaction PayPal") sont actuellement vérolés.
ces liens conduisent au vrai site PayPal où les noms (email) et mot de
passe sont saisis, puis *quelque soit le mot de passe saisi* un
formulaire pirate est affiché.
ce formulaire apparait en anglais même si vous étiez sur PayPal France,
il vous demande notamment le code PIN de votre carte bancaire et votre
numéro de sécurité sociale.
il apparait de plus correctement servi en SSL par PayPal, pour autant il
ne peut être que ILLEGALE.
ce type d'attaque était récemment discuté ici (fr.comp.securité), il est
navrant (pas peu surprenant) de constater que PayPal ne se protège pas
mieux.
le formulaire pirate apparait maintenant également depuis PayPal scénario:
- accès par www.paypal.com
réponse de "https://www.paypal.com/" avec une page en français et mini-formulaire de connexion pré-rempli pour le champ "Adresse email".
- saisi d'un mot de passe bidon et validation
un formulaire pirate est retourné.
soit ma machine est infestée, soit PayPal a un problème.
pour ma machine recevant le faux formulaire, elle est protégée par Zone Alarm, le pare-feu windows (XP SP3) et Avira Antivir premium 8.1.0.344, elle n'abrite aucun process louche, aucun process récent non plus.
se peut-il, avez-vous vu, qu'un malware local substitue les pages affichées par IE ? (selon IE la page est correctement reçue en SSL dans une session utilisant un cert signé pour www.paypal.com alors que toutes les images de cette page pirate sont téléchargées depuis www.paypalobjects.com)
pour PayPal, leur support semble réagir assez vite (pour une fois) et le temps que je rédige ce post, 2 emails de réponses indiquent qu'ils regardent le problème (sans pour autant le confirmer, ni l'infirmer).
Sylvain.
ça s'agrave !
le formulaire pirate apparait maintenant également depuis PayPal
scénario:
- accès par www.paypal.com
réponse de "https://www.paypal.com/" avec une page en français
et mini-formulaire de connexion pré-rempli pour le champ
"Adresse email".
- saisi d'un mot de passe bidon et validation
un formulaire pirate est retourné.
soit ma machine est infestée, soit PayPal a un problème.
pour ma machine recevant le faux formulaire, elle est protégée par
Zone Alarm, le pare-feu windows (XP SP3) et Avira Antivir premium
8.1.0.344, elle n'abrite aucun process louche, aucun process
récent non plus.
se peut-il, avez-vous vu, qu'un malware local substitue les pages
affichées par IE ? (selon IE la page est correctement reçue en SSL
dans une session utilisant un cert signé pour www.paypal.com alors
que toutes les images de cette page pirate sont téléchargées depuis
www.paypalobjects.com)
pour PayPal, leur support semble réagir assez vite (pour une fois)
et le temps que je rédige ce post, 2 emails de réponses indiquent
qu'ils regardent le problème (sans pour autant le confirmer, ni
l'infirmer).
le formulaire pirate apparait maintenant également depuis PayPal scénario:
- accès par www.paypal.com
réponse de "https://www.paypal.com/" avec une page en français et mini-formulaire de connexion pré-rempli pour le champ "Adresse email".
- saisi d'un mot de passe bidon et validation
un formulaire pirate est retourné.
soit ma machine est infestée, soit PayPal a un problème.
pour ma machine recevant le faux formulaire, elle est protégée par Zone Alarm, le pare-feu windows (XP SP3) et Avira Antivir premium 8.1.0.344, elle n'abrite aucun process louche, aucun process récent non plus.
se peut-il, avez-vous vu, qu'un malware local substitue les pages affichées par IE ? (selon IE la page est correctement reçue en SSL dans une session utilisant un cert signé pour www.paypal.com alors que toutes les images de cette page pirate sont téléchargées depuis www.paypalobjects.com)
pour PayPal, leur support semble réagir assez vite (pour une fois) et le temps que je rédige ce post, 2 emails de réponses indiquent qu'ils regardent le problème (sans pour autant le confirmer, ni l'infirmer).
(les URL affichées n'ont pas été forgées à la main pour la capture).
Sylvain.
A\. Caspis
Sylvain SF wrote:
l'accès à PayPal depuis les liens disponibles sur les pages eBay (tel les liens "Afficher la transaction PayPal") sont actuellement vérolés. [...]
ce type d'attaque était récemment discuté ici (fr.comp.securité), il est navrant (pas peu surprenant) de constater que PayPal ne se protège pas mieux.
Si vous parlez de la faille openssl chez debian: les certificats SSL de www.paypal.com et signin.ebay.com ne semblent pas concernés, et les serveurs non plus (d'après leurs headers HTTP).
J'essaierais avec un autre navigateur pour déterminer si c'est un problème IE local.
AC
Sylvain SF wrote:
l'accès à PayPal depuis les liens disponibles sur les pages eBay (tel
les liens "Afficher la transaction PayPal") sont actuellement vérolés.
[...]
ce type d'attaque était récemment discuté ici (fr.comp.securité), il est
navrant (pas peu surprenant) de constater que PayPal ne se protège pas
mieux.
Si vous parlez de la faille openssl chez debian:
les certificats SSL de www.paypal.com et signin.ebay.com
ne semblent pas concernés, et les serveurs non plus
(d'après leurs headers HTTP).
J'essaierais avec un autre navigateur pour déterminer si
c'est un problème IE local.
l'accès à PayPal depuis les liens disponibles sur les pages eBay (tel les liens "Afficher la transaction PayPal") sont actuellement vérolés. [...]
ce type d'attaque était récemment discuté ici (fr.comp.securité), il est navrant (pas peu surprenant) de constater que PayPal ne se protège pas mieux.
Si vous parlez de la faille openssl chez debian: les certificats SSL de www.paypal.com et signin.ebay.com ne semblent pas concernés, et les serveurs non plus (d'après leurs headers HTTP).
J'essaierais avec un autre navigateur pour déterminer si c'est un problème IE local.
AC
jenaipasdemail
Sylvain SF wrote:
ces liens conduisent au vrai site PayPal où les noms (email) et mot de passe sont saisis, puis *quelque soit le mot de passe saisi* un formulaire pirate est affiché.
Toute tentative de connexion depuis paypal.fr me renvoie sur paypal.com et aboutit à : https://www.paypal.com/fr/cgi-bin/webscr?cmd=_login-run&dispatchX905d8 0a13c0db...
Et le login m'enoie ensuite sur mon compte. Pad de pb avec Safari sous Mac OS X 10.5.3
-- Benoit Leraillez
Seuls les idéaux ne changent pas d'avis.
Sylvain SF <sylvain@boiteaspam.info> wrote:
ces liens conduisent au vrai site PayPal où les noms (email) et mot de
passe sont saisis, puis *quelque soit le mot de passe saisi* un
formulaire pirate est affiché.
Toute tentative de connexion depuis paypal.fr me renvoie sur
paypal.com et aboutit à :
https://www.paypal.com/fr/cgi-bin/webscr?cmd=_login-run&dispatchX905d8
0a13c0db...
Et le login m'enoie ensuite sur mon compte. Pad de pb avec Safari
sous Mac OS X 10.5.3
ces liens conduisent au vrai site PayPal où les noms (email) et mot de passe sont saisis, puis *quelque soit le mot de passe saisi* un formulaire pirate est affiché.
Toute tentative de connexion depuis paypal.fr me renvoie sur paypal.com et aboutit à : https://www.paypal.com/fr/cgi-bin/webscr?cmd=_login-run&dispatchX905d8 0a13c0db...
Et le login m'enoie ensuite sur mon compte. Pad de pb avec Safari sous Mac OS X 10.5.3
-- Benoit Leraillez
Seuls les idéaux ne changent pas d'avis.
Sylvain SF
A. Caspis wrote on 02/06/2008 08:26:
Si vous parlez de la faille openssl chez debian:
non je pensais à des attaques mélant phishing et injection de code. c'était peut être sur zataz.com et non sur ce groupe.
J'essaierais avec un autre navigateur pour déterminer si c'est un problème IE local.
le même problème apparait non systématiquement (*) avec FireFox.
(*) non systématiquement car PayPal (comme eBay) a de nombreux serveurs, hier des pages venant de 66.211.168.97 contenaient le formulaire pirate tandis que celles venant de 66.211.168.65 étaient saines.
cet après-midi, paypal utilise aussi 64.4.241.49, 216.113.188.65 et d'autres IP dans 66.211.168.*, la plupart sont sains mais j'ai eu quelques pages avec le formulaire piège.
Sylvain.
A. Caspis wrote on 02/06/2008 08:26:
Si vous parlez de la faille openssl chez debian:
non je pensais à des attaques mélant phishing et injection de code.
c'était peut être sur zataz.com et non sur ce groupe.
J'essaierais avec un autre navigateur pour déterminer si
c'est un problème IE local.
le même problème apparait non systématiquement (*) avec FireFox.
(*) non systématiquement car PayPal (comme eBay) a de nombreux serveurs,
hier des pages venant de 66.211.168.97 contenaient le formulaire pirate
tandis que celles venant de 66.211.168.65 étaient saines.
cet après-midi, paypal utilise aussi 64.4.241.49, 216.113.188.65 et
d'autres IP dans 66.211.168.*, la plupart sont sains mais j'ai eu
quelques pages avec le formulaire piège.
non je pensais à des attaques mélant phishing et injection de code. c'était peut être sur zataz.com et non sur ce groupe.
J'essaierais avec un autre navigateur pour déterminer si c'est un problème IE local.
le même problème apparait non systématiquement (*) avec FireFox.
(*) non systématiquement car PayPal (comme eBay) a de nombreux serveurs, hier des pages venant de 66.211.168.97 contenaient le formulaire pirate tandis que celles venant de 66.211.168.65 étaient saines.
cet après-midi, paypal utilise aussi 64.4.241.49, 216.113.188.65 et d'autres IP dans 66.211.168.*, la plupart sont sains mais j'ai eu quelques pages avec le formulaire piège.
Sylvain.
Julien Vehent
On 2 juin, 15:19, Sylvain SF wrote:
A. Caspis wrote on 02/06/2008 08:26:
Si vous parlez de la faille openssl chez debian:
non je pensais à des attaques mélant phishing et injection de code. c'était peut être sur zataz.com et non sur ce groupe.
J'essaierais avec un autre navigateur pour déterminer si c'est un problème IE local.
le même problème apparait non systématiquement (*) avec FireFox.
(*) non systématiquement car PayPal (comme eBay) a de nombreux serveurs, hier des pages venant de 66.211.168.97 contenaient le formulaire pirate tandis que celles venant de 66.211.168.65 étaient saines.
cet après-midi, paypal utilise aussi 64.4.241.49, 216.113.188.65 et d'autres IP dans 66.211.168.*, la plupart sont sains mais j'ai eu quelques pages avec le formulaire piège.
Sylvain.
Ce qui laisserais entendre que ce sont les serveurs chez PayPal qui sont infectés, et non pas le poste en local... Il est confirmé que le formulaire qui demande le code pin et le SSN est bien un formulaire pirate ? Il peut également s'agir d'une fraude interne à PayPal...
On 2 juin, 15:19, Sylvain SF <sylv...@boiteaspam.info> wrote:
A. Caspis wrote on 02/06/2008 08:26:
Si vous parlez de la faille openssl chez debian:
non je pensais à des attaques mélant phishing et injection de code.
c'était peut être sur zataz.com et non sur ce groupe.
J'essaierais avec un autre navigateur pour déterminer si
c'est un problème IE local.
le même problème apparait non systématiquement (*) avec FireFox.
(*) non systématiquement car PayPal (comme eBay) a de nombreux serveurs,
hier des pages venant de 66.211.168.97 contenaient le formulaire pirate
tandis que celles venant de 66.211.168.65 étaient saines.
cet après-midi, paypal utilise aussi 64.4.241.49, 216.113.188.65 et
d'autres IP dans 66.211.168.*, la plupart sont sains mais j'ai eu
quelques pages avec le formulaire piège.
Sylvain.
Ce qui laisserais entendre que ce sont les serveurs chez PayPal qui
sont infectés, et non pas le poste en local...
Il est confirmé que le formulaire qui demande le code pin et le SSN
est bien un formulaire pirate ? Il peut également s'agir d'une fraude
interne à PayPal...
non je pensais à des attaques mélant phishing et injection de code. c'était peut être sur zataz.com et non sur ce groupe.
J'essaierais avec un autre navigateur pour déterminer si c'est un problème IE local.
le même problème apparait non systématiquement (*) avec FireFox.
(*) non systématiquement car PayPal (comme eBay) a de nombreux serveurs, hier des pages venant de 66.211.168.97 contenaient le formulaire pirate tandis que celles venant de 66.211.168.65 étaient saines.
cet après-midi, paypal utilise aussi 64.4.241.49, 216.113.188.65 et d'autres IP dans 66.211.168.*, la plupart sont sains mais j'ai eu quelques pages avec le formulaire piège.
Sylvain.
Ce qui laisserais entendre que ce sont les serveurs chez PayPal qui sont infectés, et non pas le poste en local... Il est confirmé que le formulaire qui demande le code pin et le SSN est bien un formulaire pirate ? Il peut également s'agir d'une fraude interne à PayPal...
Paul Gaborit
À (at) 02 Jun 2008 15:01:06 GMT, Julien Vehent écrivait (wrote):
Ce qui laisserais entendre que ce sont les serveurs chez PayPal qui sont infectés, et non pas le poste en local...
Ça peut être le fichier 'hosts' de la machine locale ou encore le serveur DNS du réseau local (ou du fournisseur d'accès) qui ont été modifiés.
Franchement cela m'étonnerait beaucoup que des serveurs PayPal ou eBay soient piratés *et* restent en ligne aussi longtemps sans être détectés !
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) 02 Jun 2008 15:01:06 GMT,
Julien Vehent <julien.vehent@gmail.com> écrivait (wrote):
Ce qui laisserais entendre que ce sont les serveurs chez PayPal qui
sont infectés, et non pas le poste en local...
Ça peut être le fichier 'hosts' de la machine locale ou encore le
serveur DNS du réseau local (ou du fournisseur d'accès) qui ont été
modifiés.
Franchement cela m'étonnerait beaucoup que des serveurs PayPal ou eBay
soient piratés *et* restent en ligne aussi longtemps sans être
détectés !
--
Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) 02 Jun 2008 15:01:06 GMT, Julien Vehent écrivait (wrote):
Ce qui laisserais entendre que ce sont les serveurs chez PayPal qui sont infectés, et non pas le poste en local...
Ça peut être le fichier 'hosts' de la machine locale ou encore le serveur DNS du réseau local (ou du fournisseur d'accès) qui ont été modifiés.
Franchement cela m'étonnerait beaucoup que des serveurs PayPal ou eBay soient piratés *et* restent en ligne aussi longtemps sans être détectés !
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
Sylvain SF
Julien Vehent wrote on 02/06/2008 17:01:
Il est confirmé que le formulaire qui demande le code pin et le SSN est bien un formulaire pirate ? Il peut également s'agir d'une fraude interne à PayPal...
le support de PayPal m'a répondu qu'il investiguait, évidemment il n'a pas répondu "certes en effet nous sommes piratés" et je ne m'attends pas à ce qu'il le fasse (parce que pour l'heure ce n'est pas démontré et parce que ce ne serait pas l'habitude).
tout porte à croire que le formulaire est "pirate" dans le sens "non légitime", parmi les nombreux indices: a) un copyright "1999-2005" de la page (non visible sur mes copies d'écran car tout en bas de la page), b) un texte en anglais alors que tout le site est localisé selon le language préférentiel de l'internaute c) des infos inutiles à la gestion par PayPal et jamais réclamé (à l'ouverture d'un compte) par eux, comme le code PIN ou un numéro de sécu (info sûrement utiles pour créer des comptes usurpés chez des crédits en ligne - et encore le code PIN ?...)
concernant sa provenance, une malvaillance interne est, bien sur, possible et peut également être l'explication la plus simple.
je n'exclue pas non plus l'exploitation d'une faille locale car FireFox m'envoie une page supposée bidon tous +/- 30 essais, alors que IE tourne à près d'un sur 2; même si leur gestion de cache des DNS en est sûrement la cause.
Sylvain.
Julien Vehent wrote on 02/06/2008 17:01:
Il est confirmé que le formulaire qui demande le code pin et le SSN
est bien un formulaire pirate ? Il peut également s'agir d'une fraude
interne à PayPal...
le support de PayPal m'a répondu qu'il investiguait, évidemment il n'a
pas répondu "certes en effet nous sommes piratés" et je ne m'attends pas
à ce qu'il le fasse (parce que pour l'heure ce n'est pas démontré et
parce que ce ne serait pas l'habitude).
tout porte à croire que le formulaire est "pirate" dans le sens "non
légitime", parmi les nombreux indices: a) un copyright "1999-2005" de
la page (non visible sur mes copies d'écran car tout en bas de la page),
b) un texte en anglais alors que tout le site est localisé selon le
language préférentiel de l'internaute c) des infos inutiles à la gestion
par PayPal et jamais réclamé (à l'ouverture d'un compte) par eux, comme
le code PIN ou un numéro de sécu (info sûrement utiles pour créer des
comptes usurpés chez des crédits en ligne - et encore le code PIN ?...)
concernant sa provenance, une malvaillance interne est, bien sur,
possible et peut également être l'explication la plus simple.
je n'exclue pas non plus l'exploitation d'une faille locale car FireFox
m'envoie une page supposée bidon tous +/- 30 essais, alors que IE tourne
à près d'un sur 2; même si leur gestion de cache des DNS en est sûrement
la cause.
Il est confirmé que le formulaire qui demande le code pin et le SSN est bien un formulaire pirate ? Il peut également s'agir d'une fraude interne à PayPal...
le support de PayPal m'a répondu qu'il investiguait, évidemment il n'a pas répondu "certes en effet nous sommes piratés" et je ne m'attends pas à ce qu'il le fasse (parce que pour l'heure ce n'est pas démontré et parce que ce ne serait pas l'habitude).
tout porte à croire que le formulaire est "pirate" dans le sens "non légitime", parmi les nombreux indices: a) un copyright "1999-2005" de la page (non visible sur mes copies d'écran car tout en bas de la page), b) un texte en anglais alors que tout le site est localisé selon le language préférentiel de l'internaute c) des infos inutiles à la gestion par PayPal et jamais réclamé (à l'ouverture d'un compte) par eux, comme le code PIN ou un numéro de sécu (info sûrement utiles pour créer des comptes usurpés chez des crédits en ligne - et encore le code PIN ?...)
concernant sa provenance, une malvaillance interne est, bien sur, possible et peut également être l'explication la plus simple.
je n'exclue pas non plus l'exploitation d'une faille locale car FireFox m'envoie une page supposée bidon tous +/- 30 essais, alors que IE tourne à près d'un sur 2; même si leur gestion de cache des DNS en est sûrement la cause.
Sylvain.
Eric Razny
Le Mon, 02 Jun 2008 15:40:24 +0000, Paul Gaborit a écrit :
Franchement cela m'étonnerait beaucoup que des serveurs PayPal ou eBay soient piratés *et* restent en ligne aussi longtemps sans être détectés !
Quand il y a eu des brèches (même plus des failles) énormes dans bind il était plutôt affolant de voir le nombre de grosses boites qui sont restée fort longtemps bien ouvertes...
-- Eric
Le Mon, 02 Jun 2008 15:40:24 +0000, Paul Gaborit a écrit :
Franchement cela m'étonnerait beaucoup que des serveurs PayPal ou eBay
soient piratés *et* restent en ligne aussi longtemps sans être
détectés !
Quand il y a eu des brèches (même plus des failles) énormes dans bind il
était plutôt affolant de voir le nombre de grosses boites qui sont
restée fort longtemps bien ouvertes...
Le Mon, 02 Jun 2008 15:40:24 +0000, Paul Gaborit a écrit :
Franchement cela m'étonnerait beaucoup que des serveurs PayPal ou eBay soient piratés *et* restent en ligne aussi longtemps sans être détectés !
Quand il y a eu des brèches (même plus des failles) énormes dans bind il était plutôt affolant de voir le nombre de grosses boites qui sont restée fort longtemps bien ouvertes...
-- Eric
Sylvain SF
Paul Gaborit wrote on 02/06/2008 17:40:
À (at) 02 Jun 2008 15:01:06 GMT, Julien Vehent écrivait (wrote):
Ce qui laisserais entendre que ce sont les serveurs chez PayPal qui sont infectés, et non pas le poste en local...
Ça peut être le fichier 'hosts' de la machine locale ou encore le serveur DNS du réseau local (ou du fournisseur d'accès) qui ont été modifiés.
le fichier host local ne définit pas le domaine paypal.com, la trucbox a peut être un cache (quoique FireFox obtient quasiment jamais 2 fois la même IP - IE ne permet pas de connaitre l'IP contactée), le DNS de wanadoo peut aussi être corrompu ... cela fait bcp d'hypothèses externe à l'attaque (ie à la compagnie eBay/PayPal qui concentre +/- les 2/3 des attaques courantes).
cette hypothèse de corruption d'un DNS - qui provoquerait le renvoi vers un site externe à cette compagnie - ne me parait pas vérifiée.
tout d'abord parce que sans *aucun* cookie PayPal sur la machine, un lien vers PayPal depuis eBay fait apparaitre la page de login PayPal avec la bonne adresse email (identifica,t du compte) dans un input hidden du formulaire.
ensuite la page de saisie du mot de passe du compte, puis celle du formulaire suspect sont servis en SSL v.3 chiffrées par une clé échangée via un cert émis par VeriSign (cert n° 11 2a 00 6d 37 e5 10 6f d6 ca 7c c3 ef ba cc 18) pour le domaine www.paypal.com (n° 6e 6b 9c a3 f7 52 35 b4 95 37 86 d4 e5 13 54 a9).
soit la clé de ce cert a été forgée et un faux site l'utilise, soit c'est bien un serveur en lien avec cette clé qui envoie les pages.
dernier point et comme indiqué, dans le même range appartenant (selon le whois de verisign) à "eBay, Inc" [1] certaines IP ne donnent pas cette page (eg 66.211.168.65) tandis que d'autres (66.211.168.97) donnent cette page.
[1] eBay possède le range: 66.211.160.0 - 66.121.191.255 et: 216.113.160.0 - 216.113.191.255 PayPal possède le range: 64.4.240.0 - 64.4.225.255 (peut être également d'autres).
Franchement cela m'étonnerait beaucoup que des serveurs PayPal ou eBay soient piratés *et* restent en ligne aussi longtemps sans être détectés !
ben oui, mais !... professionnellement j'ai souvent besoin d'être connecté sur ces sites (ebay et paypal) en manuel (form html) ou via leurs APIs; je n'ai vu apparaitre le problème qu'hier en soirée (vers 23h00, mon 1ier post étant envoyé 2h plus tard); la détection n'étant jamais instantanée on pouvait imaginer que la confirmation puis la réparation prenne quelque temps, mais 24h commencent à faire beaucoup, or ...
connectez-vous, pour voir, sur 66.211.168.97 (ce site est toujours en ligne à 23h43), saississez un email et pwd quelconque (et bidon) après 10 à 15 sec. le formulaire suspect est retourné (le login normal aboutit à une page de redirection après 3 à 6 sec.).
merci pour une éventuelle confirmation de la présence de ce form, j'arreterais de chercher sur ma machine un vilain fantôme que je pense non présent.
Sylvain.
Paul Gaborit wrote on 02/06/2008 17:40:
À (at) 02 Jun 2008 15:01:06 GMT,
Julien Vehent <julien.vehent@gmail.com> écrivait (wrote):
Ce qui laisserais entendre que ce sont les serveurs chez PayPal qui
sont infectés, et non pas le poste en local...
Ça peut être le fichier 'hosts' de la machine locale ou encore le
serveur DNS du réseau local (ou du fournisseur d'accès) qui ont été
modifiés.
le fichier host local ne définit pas le domaine paypal.com, la trucbox
a peut être un cache (quoique FireFox obtient quasiment jamais 2 fois
la même IP - IE ne permet pas de connaitre l'IP contactée), le DNS de
wanadoo peut aussi être corrompu ... cela fait bcp d'hypothèses externe
à l'attaque (ie à la compagnie eBay/PayPal qui concentre +/- les 2/3 des
attaques courantes).
cette hypothèse de corruption d'un DNS - qui provoquerait le renvoi
vers un site externe à cette compagnie - ne me parait pas vérifiée.
tout d'abord parce que sans *aucun* cookie PayPal sur la machine,
un lien vers PayPal depuis eBay fait apparaitre la page de login
PayPal avec la bonne adresse email (identifica,t du compte) dans
un input hidden du formulaire.
ensuite la page de saisie du mot de passe du compte, puis celle du
formulaire suspect sont servis en SSL v.3 chiffrées par une clé
échangée via un cert émis par VeriSign (cert n° 11 2a 00 6d 37 e5
10 6f d6 ca 7c c3 ef ba cc 18) pour le domaine www.paypal.com
(n° 6e 6b 9c a3 f7 52 35 b4 95 37 86 d4 e5 13 54 a9).
soit la clé de ce cert a été forgée et un faux site l'utilise, soit
c'est bien un serveur en lien avec cette clé qui envoie les pages.
dernier point et comme indiqué, dans le même range appartenant (selon
le whois de verisign) à "eBay, Inc" [1] certaines IP ne donnent pas
cette page (eg 66.211.168.65) tandis que d'autres (66.211.168.97)
donnent cette page.
[1] eBay possède le range: 66.211.160.0 - 66.121.191.255
et: 216.113.160.0 - 216.113.191.255
PayPal possède le range: 64.4.240.0 - 64.4.225.255
(peut être également d'autres).
Franchement cela m'étonnerait beaucoup que des serveurs PayPal ou eBay
soient piratés *et* restent en ligne aussi longtemps sans être
détectés !
ben oui, mais !... professionnellement j'ai souvent besoin d'être
connecté sur ces sites (ebay et paypal) en manuel (form html) ou
via leurs APIs; je n'ai vu apparaitre le problème qu'hier en soirée
(vers 23h00, mon 1ier post étant envoyé 2h plus tard); la détection
n'étant jamais instantanée on pouvait imaginer que la confirmation
puis la réparation prenne quelque temps, mais 24h commencent à faire
beaucoup, or ...
connectez-vous, pour voir, sur 66.211.168.97 (ce site est toujours
en ligne à 23h43), saississez un email et pwd quelconque (et bidon)
après 10 à 15 sec. le formulaire suspect est retourné (le login
normal aboutit à une page de redirection après 3 à 6 sec.).
merci pour une éventuelle confirmation de la présence de ce form,
j'arreterais de chercher sur ma machine un vilain fantôme que je
pense non présent.
À (at) 02 Jun 2008 15:01:06 GMT, Julien Vehent écrivait (wrote):
Ce qui laisserais entendre que ce sont les serveurs chez PayPal qui sont infectés, et non pas le poste en local...
Ça peut être le fichier 'hosts' de la machine locale ou encore le serveur DNS du réseau local (ou du fournisseur d'accès) qui ont été modifiés.
le fichier host local ne définit pas le domaine paypal.com, la trucbox a peut être un cache (quoique FireFox obtient quasiment jamais 2 fois la même IP - IE ne permet pas de connaitre l'IP contactée), le DNS de wanadoo peut aussi être corrompu ... cela fait bcp d'hypothèses externe à l'attaque (ie à la compagnie eBay/PayPal qui concentre +/- les 2/3 des attaques courantes).
cette hypothèse de corruption d'un DNS - qui provoquerait le renvoi vers un site externe à cette compagnie - ne me parait pas vérifiée.
tout d'abord parce que sans *aucun* cookie PayPal sur la machine, un lien vers PayPal depuis eBay fait apparaitre la page de login PayPal avec la bonne adresse email (identifica,t du compte) dans un input hidden du formulaire.
ensuite la page de saisie du mot de passe du compte, puis celle du formulaire suspect sont servis en SSL v.3 chiffrées par une clé échangée via un cert émis par VeriSign (cert n° 11 2a 00 6d 37 e5 10 6f d6 ca 7c c3 ef ba cc 18) pour le domaine www.paypal.com (n° 6e 6b 9c a3 f7 52 35 b4 95 37 86 d4 e5 13 54 a9).
soit la clé de ce cert a été forgée et un faux site l'utilise, soit c'est bien un serveur en lien avec cette clé qui envoie les pages.
dernier point et comme indiqué, dans le même range appartenant (selon le whois de verisign) à "eBay, Inc" [1] certaines IP ne donnent pas cette page (eg 66.211.168.65) tandis que d'autres (66.211.168.97) donnent cette page.
[1] eBay possède le range: 66.211.160.0 - 66.121.191.255 et: 216.113.160.0 - 216.113.191.255 PayPal possède le range: 64.4.240.0 - 64.4.225.255 (peut être également d'autres).
Franchement cela m'étonnerait beaucoup que des serveurs PayPal ou eBay soient piratés *et* restent en ligne aussi longtemps sans être détectés !
ben oui, mais !... professionnellement j'ai souvent besoin d'être connecté sur ces sites (ebay et paypal) en manuel (form html) ou via leurs APIs; je n'ai vu apparaitre le problème qu'hier en soirée (vers 23h00, mon 1ier post étant envoyé 2h plus tard); la détection n'étant jamais instantanée on pouvait imaginer que la confirmation puis la réparation prenne quelque temps, mais 24h commencent à faire beaucoup, or ...
connectez-vous, pour voir, sur 66.211.168.97 (ce site est toujours en ligne à 23h43), saississez un email et pwd quelconque (et bidon) après 10 à 15 sec. le formulaire suspect est retourné (le login normal aboutit à une page de redirection après 3 à 6 sec.).
merci pour une éventuelle confirmation de la présence de ce form, j'arreterais de chercher sur ma machine un vilain fantôme que je pense non présent.
