Storia
- Ho ricevuto un'e-mail questo pomeriggio al mio gmail da "[email protected]" con
mailed-by: na.e.paypal.com
esigned-by: e.paypal.com
. Gmail non ha segnalato come spam / phishing / sospetto e è andato direttamente alla mia casella di posta, quindi i record MX devono essere verificati. - L'email è effettivamente collegata a questo URL .
- L'URL, quando viene fatto clic, presenta un sito Web crittografato HTTPS recante il certificato EV di Classe 3 di PayPal Inc di Verisign, che è not facile da ottenere.
Secondo tutti gli account, appare che il sito è una proprietà legittima di PayPal.
Ma poi le cose cominciano a diventare estremamente sospette:
Sefaiclicsu"Continua" in quella pagina, con o senza immettere testo nel campo dell'indirizzo email , funziona - ti porta al sito "connesso". Infatti, il pulsante "Accedi" nella parte superiore della pagina diventa un pulsante "Esci". È fondamentalmente una cortina di fumo.
Quindi, immediatamente, vieni accolto con un riquadro che mostra annunci di domini incrociati provenienti da altri domini per cercare di farti comprare cose. In quale parte del mondo questo punto è diverso da quello di mostrare (possibilmente malevoli / sospetti) annunci di terze parti per ottenere più soldi da PayPal?
Questo non ha assolutamente senso, e davvero scuote la mia fiducia in PayPal come azienda se sono disposti a mettere il loro certificato di Classe EV su un sito con questo livello di stupidità. Inoltre, "DISPONIBILE SOLO PER INVITO" è completamente una bugia; puoi andare lì su qualsiasi computer in tutto il mondo e fare clic su "Continua", e sei "in", per tutto quello che vale (che in pratica non è niente).
La mia preoccupazione è più che hanno implementato un sito Web con una tale sicurezza senza senso; ha inviato solo "inviti" a determinati utenti; e poi ha avuto il coraggio di mettere il loro certificato EV su di esso come se approvassero questo hogwash. Perché un sito dovrebbe passare attraverso la schermata di "login" di una e-mail quando ciò che vogliono fare è semplicemente mostrare annunci pubblicitari a chiunque sia abbastanza sciocco da visitare il sito?