Phishing Paypal

  • Publicado: Seg, 04/05/2015 - 00:00

Foi detectado que se encontra em curso uma campanha de phishing de credenciais de paypal, embora neste momento, o site já se encontre indisponível.

A mensagem enviada contém um link para o site de phishing e uma imagem, carregada de forma automática, que é um único pixel, eventualmente para sinalizar origens de cliques e/ou cookies activos no browser do utilizador.

 

À data de redacção deste documento o site de phishing (hxxp://paypal-security.skil.impactomilitar.com.br/new/) já não se encontrou disponível,  não tendo sido possível analisar o conteúdo do mesmo, mas existem reportes de se tratar de um site de phishing[1].

 

A mensagem de correio electrónico tem o seguinte aspecto:

 

 

A mensagem de correio electrónico contem, entre outros, os seguintes headers:

 

Received: from o50314585.outbound-mail.sendgrid.net
(o50314585.outbound-mail.sendgrid.net [50.31.45.85])    (using TLSv1 with cipher
DHE-RSA-AES128-SHA (128/128 bits))  (No client certificate requested)    by
xxx.xxx (Postfix) with ESMTPS id 687C32425FC  for
<xxx@xxx.pt>; Mon,  4 May 2015 14:16:01 +0100 (WEST)
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; d=sendgrid.net;
     h=content-type:mime-version:from:to:reply-to:subject; s=smtpapi;
     bh=Sf42p1RH4FYLbkcNVUSzyIggcVQ=; b=U9VBD2nVrAjuxRkx/6uSFwk3PRwBz
     E5xOwgNfVujXTtEPYufYAL6PwenvIYWAR3NxD59wIX7NxyyySEfTxL62gmgrLy8W
     FRivfb2JBo0cgBP2Aj0bhIghOVordHMf3+Kk/uMgdUkF1QPw9ag6CR4tesU3q7oP
     uwLw8y/F1SQ+Tc=
Received: by filter-323.sjc1.sendgrid.net with SMTP id
filter-323.25380.554770AE18        2015-05-04 13:14:23.288921542 +0000 UTC
Received: from MTc0ODQ3NQ (unknown [10.42.83.122])  by ismtpd-068 (SG) with
HTTP id 14d1f102c93.4cb7.14caff     for <bassimo.brazil3@hotmail.com>; Mon, 04
May 2015 13:14:23 +0000 (UTC)
Content-Type: multipart/alternative;
     boundary="===============1465967421167479771=="
MIME-Version: 1.0
From: Reseller Customer <bassimo.brazil3@hotmail.com>
Subject: =?utf-8?q?Confirme_your_identity=E2=80=8F=2E?=
 

Recomendações:

  • Se receber este email, não clique em nenhum dos links apresentados, devendo apagar o email.

  • Se acedeu ao site e introduziu a sua informação de paypal então deverá alterar imediatamente as suas credeciais em https://www.paypal.com.

 

Referencias:

[1] - https://www.virustotal.com/en/url/ff032deb10766698c52424204c81d8ced6b17d94c7d41219ea79063410a8ba32/analysis/1430754111/

 

Para mais informação sobre phishing, consulte a nossa área de Sensibilização » Phishing