显然是 PayPal 附属网站,安全性非常可疑

信息安全 网络钓鱼 相信
2021-08-16 12:14:44

历史

  • 今天下午我收到一封来自“paypal@e.paypal.com”发给我的 gmail 的电子邮件,其中包含mailed-by: na.e.paypal.comsigned-by: e.paypal.comGmail 没有将其报告为垃圾邮件/网络钓鱼/可疑,而是直接进入我的收件箱,因此必须检查 MX 记录。
  • 电子邮件有效链接到此 url
  • 单击该 URL 时,会显示一个 HTTPS 加密网站,该网站带有 PayPal Inc 的 Verisign 的 Class 3 EV 证书,该证书容易获得。

从所有人的角度来看,该网站似乎是一个合法的 PayPal 财产。

但随后事情开始变得非常可疑:

  • 在此处输入图像描述

如果您单击该页面上的“继续”,无论是否在电子邮件地址字段中输入任何文本,它都会起作用 - 它会将您带到“登录”站点。实际上,页面顶部的“登录”按钮变成了“注销”按钮。它基本上是一个烟幕。

然后,您会立即看到一个显示来自其他域的跨域广告的窗格,以尝试让您购买东西。除了展示(可能是恶意的/可疑的)第三方广告以获取 PayPal 更多的钱之外,这个网站还有什么意义呢?

这绝对没有意义,如果他们愿意将他们的 Class 3 EV 证书放在一个愚蠢程度如此之高的网站上,这真的动摇了我对 PayPal 作为一家公司的信任。此外,“仅受邀请提供”完全是谎言;你可以在全世界的任何一台电脑上去那里,然后点击“继续”,然后你就“进入”了,尽管它是值得的(基本上,什么都没有)。

我更担心的是他们实施了一个具有如此无意义的安全性的网站;只向某些用户发出“邀请”;然后有胆量把他们的 EV 证书放在上面,就好像他们支持这个废话一样。当一个站点想要做的只是向任何愚蠢到访问该站点的人显示广告时,为什么站点会遇到电子邮件“登录”屏幕的麻烦?

3个回答

我一直在做进一步的研究,特殊站点有“PayPal,Inc[US]”证书,而paypal原始站点有“PayPal,Inc.[US]”证书(注意Inc后面的点)。

证书包含以下(相关)信息: 

CN = www.paypal-special.com
OU = Partner Support
O = PayPal, Inc
STREET = 2211 N 1st St
L = San Jose
S = California
PostalCode = 95131-2021
C = US
SERIALNUMBER = 3014267
2.5.4.15 = Private Organization
1.3.6.1.4.1.311.60.2.1.2 = Delaware
1.3.6.1.4.1.311.60.2.1.3 = US

CN = www.paypal.com
OU = PayPal Production
O = PayPal, Inc.
STREET = 2211 N 1st St
L = San Jose
S = California
PostalCode = 95131-2021
C = US
SERIALNUMBER = 3014267
2.5.4.15 = Private Organization
1.3.6.1.4.1.311.60.2.1.2 = Delaware
1.3.6.1.4.1.311.60.2.1.3 = US

这里也有一些奇怪的东西,两个证书都有相同的序列号。

但是,这个证书在两年内相当昂贵(3 000 美元),所以我认为该页面是合法的,但有点被遗弃,而且他们没有付出足够的努力。

另外,关于域名信息,我们可以找到以下数据(与证书信息一致):

Domain Name: paypal-special.com
Registry Domain ID: 
Registrar WHOIS Server: whois.markmonitor.com
Registrar URL: http://www.markmonitor.com
Updated Date: 2013-12-23T04:01:12-0800
Creation Date: 2013-10-23T16:12:23-0700
Registrar Registration Expiration Date: 2015-10-23T16:12:24-0700
Registrar: MarkMonitor, Inc.
Registrar IANA ID: 292
Registrar Abuse Contact Email: 
Registrar Abuse Contact Phone: +1.2083895740
Domain Status: clientUpdateProhibited
Domain Status: clientTransferProhibited
Domain Status: clientDeleteProhibited
Registry Registrant ID: 
Registrant Name: Host Master
Registrant Organization: PayPal Inc.
Registrant Street: 2065 Hamilton Avenue, 
Registrant City: San Jose
Registrant State/Province: CA
Registrant Postal Code: 95125
Registrant Country: US
Registrant Phone: +1.4083767400
Registrant Phone Ext: 
Registrant Fax: 
Registrant Fax Ext: 
Registrant Email: 
Registry Admin ID: 
Admin Name: Domain Administrator
Admin Organization: eBay Inc.
Admin Street: 2145 Hamilton Avenue
Admin City: San Jose
Admin State/Province: CA
Admin Postal Code: 95125
Admin Country: US
Admin Phone: +1.4083767400
Admin Phone Ext: 
Admin Fax: +1.4083767514
Admin Fax Ext: 
Admin Email: 
Registry Tech ID: 
Tech Name: Host Master
Tech Organization: PayPal Inc.
Tech Street: 2211 North First Street
Tech City: San Jose
Tech State/Province: CA
Tech Postal Code: 95131
Tech Country: US
Tech Phone: +1.4083767400
Tech Phone Ext: 
Tech Fax: 
Tech Fax Ext: 
Tech Email:

我经常听到的“安全剧场”的谈话-事情的公司和组织做才能让人们感到更安全,而无需实际使他们成为更安全。这个网站上的“安全”听起来很像。

然而,与飞机不同的是,这个站点实际上并不需要安全。它不收集您的 PayPal 密码,也不处理付款。它所做的只是提供广告链接和(大概)设置一些推荐人 cookie。它甚至不在常规的 PayPal 域上。

这里的“安全性”仅仅是因为人们希望与 PayPal 建立安全连接。这是营销,而不是实际的安全性。PayPal 没有投入资金使其真正安全,因为没有理由这样做。

(当然,这里的营销很可能失败了,因为一旦你看到表面之下,“安全”就太明显了,但这仍然是营销失败而不是安全失败。)

另请参阅2011 年被黑客入侵的 CIA 网站上的 xkcd - 这并不令人担忧,因为被黑客入侵的服务器根本不是需要特别安全的服务器。

我收到了来自 paypal@e.paypal 的酵母日电子邮件,因为我认为它可能不是来自 PayPal,所以我将它转发到了 spoof@paypal.com。他们回答我:“您好 Anne Palokangas,感谢您转发这封看起来可疑的电子邮件。您是对的 - 这是一次网络钓鱼尝试,我们正在努力阻止欺诈行为。通过报告问题,您已经有所作为! 身份窃贼试图通过网络钓鱼电子邮件和虚假网站诱骗您泄露您的密码或其他个人信息。要了解有关在线安全的更多信息,请单击任何 PayPal 网页上的“安全中心”。每封电子邮件都很重要。当您转发看起来可疑的电子邮件时发送至 spoof@paypal.com,您可以帮助保护自己和他人免遭身份盗用。”

其它你可能感兴趣的问题
上一篇什么时候需要 NetBIOS? 下一篇重置密码 - 我应该防止滥用它吗?