Um golpe de phisihng recentemente descoberto no PayPal não apenas rouba as credenciais de login, mas também informações de identificação pessoal e dados de cartão de crédito.

Descoberto e divulgado em 20 de dezembro por pesquisadores de segurança da ESET spol s.r.o., a campanha de phishing envia um e-mail ao usuário afirmando que sua conta passou por uma “atividade incomum”. O e-mail solicita que a vítima faça login na conta para se proteger.

Ao clicar no link, o usuário é direcionado para uma página de phishing criada para se parecer com a página de login do PayPal para inserir seus dados, até aqui, um processo de phishing bastante típico. A partir daí, o processo se torna um pouco mais ambicioso, como classificaram os pesquisadores.

Após inserir os dados, os usuários são solicitados a “verificar sua conta”, fornecendo informações pessoais adicionais. As informações solicitadas incluem endereço de cobrança, detalhes do cartão de crédito e endereço de e-mail. No final do processo, uma tela aparece informando que as vítimas tiveram sua conta do PayPal restaurada.

Reprodução

A URL informada não está relacionada ao PayPal e possui alguns erros de ortografia, mesmo assim, muitos usuários caem no golpe. Refletindo uma tendência nesse tipo de golpe, a URL possui um certificado Secure Sockets Layer, com um cadeado verde, para convencer os usuários de que se trata de algo real.

“À medida que os compradores finalizam seus pedidos online e analisam suas compras feitas antes do feriado, é importante acompanhar de perto suas transações enquanto gerenciam suas finanças pessoais”, afirma Matthew Gardiner, diretor de segurança corporativa da empresa de segurança cibernética Mimecast Services Ltd. “Os compradores devem estar cada vez mais vigilantes no monitoramento de suas atividades e ter cuidado com os e-mails de alerta recebidos, sempre verificando se eles são de uma fonte legítima”, completou.

Como o PayPal oferece aos compradores uma plataforma segura que evita que eles fornaçam suas informações aos sites dos varejistas, ele acrescentou que é natural que as pessoas presumam que um alerta do serviço é legítimo. “No entanto, com a agitação da temporada de festas, os phishers podem tirar proveito do comprador que não está monitorando transações fraudulentas e torná-los alvos de um esquema de alerta falso”, disse Gardiner.

 

Via: Silicon Angle