Originariamente inviata da
U235
Questo punto potrebbe trarti in inganno. Come hai valutato la cronologia del browser? O forse sarebbe meglio capire i vari passaggi. Nei post iniziali indichi link che non sono del dominio principale di PayPal. poi non ho cliccato in nessuno dei tuoi link, quindi magari mi sfugge qualcosa... In ogni caso il certificato si controlla sul momento non sulla cronologia che a volte può trarre in inganno.
Il 9 febbraio ricevetti la mail che mi invitava a controllare le transazioni. La notai però solo l'11 febbraio, perché a quella data si riferiscono le mail verso il contatto phishing PayPal. Inoltre è solo a tale data che trovo traccia di ciò nella cronologia del browser. Io feci clic, e la pagina web si aprì nella medesima app del gestore di posta in cui risiedeva il messaggio.
Nota che di messaggi del genere dalla casella incriminata (paypal@emails... con link click.enails.. e view.emails...) ne ho ricevuti un sacco. Davo per scontato che fossero autentici; solo dopo aver aperto il più recente (invito a controllare le operazioni) ho cominciato a sentir puzza di bruciato.
Sembra che i ladruncoli si stiano evolvendo, perché nelle missive è del tutto assente il tipico tono allarmistico che notoriamente viene indicato dai vari enti nelle istruzioni preventive i raggiri telematici. Qui al contrario il tono è cordiale e direi quasi amichevole, la comunicazione non è forzante, anzi è utilizzata una strategia psicologica pacata del tipo "se ti va vieni a controllare i movimenti / verificare questa proposta di marketing ecc". Se uniamo il tutto a una perfetta impaginazione, disposizione e allestimento grafico, assenza di errori ortografici e grammaticali, ecco che si giustifica senza appello l'iinevitabilità dell'impossibilità di accorgersi, almeno a un primo sguardo, della tela approntata dal ragno.
Incollo il link da cronologia:
[https]://www.paypal.com/signin?country.x=IT&locale.x=it_IT&utm_source=sfmc &utm_medium=email&utm_campaign=OW_EM_AH_MC_NI_NI_2 02302_320371_Consumer_Statement_it_IT&sfmc_id=SR3J XXYQNCSE4&utm_content=CTA_MODULE_LOGIN_Go_to_your_ account
Di seguito il risultato dell'analisi dell'URL, che eseguii subito dopo tramite Virustotal (dato derivante ancora dalla cronologia browser 11 febbraio)
Final URL
[https]://www.paypal.com/signin?country.x=IT&locale.x=it_IT&utm_source=sfmc &utm_medium=email&utm_campaign=OW_EM_AH_MC_NI_NI_2 02302_320371_Consumer_Statement_it_IT&sfmc_id=SR3J XXYQNCSE4&utm_content=CTA_MODULE_LOGIN_Go_to_your_ account
Serving IP Address
13.110.199.75
Ho appena verificato tale IP su
https://ip-geolocation.whoisxmlapi.com/api,
e questo è il risultato:
codice:
ip: String
"13.110.199.75"
location: Object
country: "US",
region: "California",
city:# "Financial District",
lat: 37.7912,
lng: -122.401,
postalCode: "",
timezone: "-07:00",
geonameId: 6948446
domains: Array
0: "click.emails.paypal.com",
as: Object
asn: 14340,
name: "SALESFORCE",
route: "13.110.0.0/16",
domain: "http://www.salesforce.com",
type: "Content"
isp: String
"Salesforce.com, Inc."
connectionType: String
e anche qui:
https://www.netify.ai/resources/ips/13.110.199.75
Sembrerebbe legale: PayPal ha uffici a San Francisco. Tu però hai detto che non ammette sottodomini. Questa tua osservazione mi ha fatto sorgere qualche interrogativo, perché leggendo questa pagina PayPal sembrerebbe che i sottodomini siano contemplati.
alla luce di quello che hai detto, ma francamente non è importante in questo momento. L'attenzione per il momento riguarda la parte del certificato ssl, questo dando per "ammesso" che in qualche modo ti abbiano "spooffato" il dns a prescindere da come.
Non so se mi abbiano spooffato il DNS: rete mobile, e sebbene l'utente sia l'anello debole, non vedo come qualcuno possa aver agito in tal senso.
Mi hai fatto venire un dubbio. Come detto, avevo cliccato il link, ma subito dopo, appena apparso il login, m'era sorto il sospetto, al che segnalai subito il fatto al centro PayPal preposto alle frodi.
Ora mi chiedo se il clic in sé e per sé comporti qualche rischio. Francamente, non riesco a vedere in che modo: per caso tramite Javascript?
Se mi dici che non ne comporta, allora posso ripetere la sequenza di azioni per vedere il certificato.
Ni... esistono molti strumenti per cercare di contrastare le violazioni, intendo strumenti che l'utente deve usare correttamente per ridurre al minimo il rischio, in quanto nella maggior parte dei casi l'attacco tende ad essere rivolto all'anello debole della catena di sicurezza, ovvero l'utente.
Quali sarebbero per la precisione tali strumenti? Mi verrebbe da pensare a servizi integrati in antivirus, ma tieni presente che, come ho detto, qui mi sto riferendo a un contesto mobile.
Poi certo, a volte gli attacchi avvengono in un modo in cui l'utente non è coinvolto, ma anche in questi casi spesso l'anello debole è sempre l'uomo (magari l'amministratore di sistema). In ogni caso si, ovviamente le violazioni sono sempre possibili, ma non basta dire: "mi hanno hackerato la password di paypal!" per avere magari indietro "soldi spesi" dal tuo account.
Questo, sinceramente, non l'ho mai capito. Posso concepire un attacco ransomware in cui il ricattatore convoglia il flusso del prezzo del riscatto in crypto (magnifico portato di questo infausto parto finanziario..), ma un utilizzo di coordinate bancarie ben precise.. voglio dire, se Tizio va a toccare il tuo borsellino, dovrà pur lasciare qualche traccia: indirizzo se effettua acquisti, percorso verso il conto di destinazione se bonifica..
Prendi ad esempio il tuo caso, potrebbe anche succedere che magari sei convinto di aver letto paypal.com ed invece magari scopri che si trattava di paypall.com o qualcosa di simile (ovviamente immagino abbia già controllato bene nel tuo caso). Senza considerare poi gli attacchi]Punycode].
Dai nomi riportati sopra non si direbbe. Il Punycode, in base a quanto appreso dall'articolo, sarebbe quell'atracco MiM cui avevo accennato? In effetti, accorgersi di un puntino sotto o sopra un carattere in tutto e per tutto identico a uno Unicode è impresa ardua!
Un altro caso potrebbe essere quello in cui in qualche modo hai (tu o chissà chi...) installato un certificato root per una Authority CA fasulla sul tuo browser, a quel punto potresti tranquillamente trovarti il certificato sul dominio corretto in quanto il fasullo è l'autorità stessa.
L'unica cosa che so di aver fatto, per la precisione l'anno scorso, è di aver installato certificati Let's Encrypt per rimpiazzare quelli scaduti. Questi non c'entrano nulla, immagino, con quelli utilizzati da PayPal, e comunque sono originali.
... diciamo: se hai immesso dati un un sistema elettronico collegato alla rete elettrica, allora questi dati sono a rischio, poi quanto siano a rischio è relativo, ma lo sono. Quindi oserei ripetere che reperire i dati è sempre possibile una volta digitalizzati (ma anche tramite cartaceo vocale ecc...). Ma anche questo tenderei a lasciarlo "per dopo", non è influente per capire come possa essere stato scavalcato il problema del certificato ssl (sempre se è avvenuto e non sia una cattiva interpretazione).
Rispondi quotando
