Sto chiedendo questa domanda per curiosità; Non sono caduto vittima di questo, sono solo interessato a quello che fa.
Oggi ho ricevuto un'e-mail dal "Team di sicurezza Paypal":
Dear Client,
After closely monitoring a number of unusual activities from your account, we decided to limit the access in the account.
Before we can restore your account back to normal, we need to get some information from you.
Please download and open the attachment file from this email. Furthermore, we ask that you complete the form that we have provided.
After doing so, we are then going to review your information and take the necessary steps to remove the limitations. Please understand that Account Limitations are applied to help keep you protected.
We apologize for the inconvenience.
Sincerely, PayPal
Ecco le intestazioni, con l'IP del mio server di posta rimosso perché in realtà è il mio server privato:
From - Sun Sep 25 18:09:24 2016
X-Account-Key: account1
X-UIDL: 1:2267
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <[email protected]>
Received: from 210.115.225.25 (210.115.225.25) (HELO hallym.ac.kr)
by <myserver> (<myserverip>) with SMTP
id c2fb6dfb1b98664f; Sun, 25 Sep 2016 17:59:59 +0200
Received: from 96.53.84.19([189.149.72.109]) by hallym.ac.kr with SMTP id 160926005835170B; Mon, 26 Sep 2016 00:58:35 +0900
From: PayPal Security Team <[email protected]>
Subject: Suspicious activity
MIME-Version: 1.0
Message-ID: <[email protected]>
Content-Type: multipart/mixed; boundary="9bc43cfe03082750b916b2a227e24d86"
Il messaggio aveva un singolo allegato, un file HTML - questo è il "modulo" menzionato nel messaggio. In realtà, è una sorta di codice JS offuscato; Sono abbastanza curioso di scoprire cosa fa. È disponibile qui ; mi dispiace di collegarmi a una fonte esterna, ma è piuttosto lungo. Presumibilmente, l'utente doveva aprire il file nel proprio browser, che eseguiva il codice JS e faceva qualcosa di spiacevole.
Ho provato a segnalare questo problema a PayPal, ma "la pagina wasn" Trovato ".
Ciò che è leggermente allarmante è che possiedo un account PayPal e che è registrato all'indirizzo email a cui è stato inviato questo messaggio.
La cosa interessante del dominio è che sembra essere molto vecchio:
Updated Date: 07-oct-2015
Creation Date: 01-dec-2003
Expiration Date: 01-dec-2016
Ho controllato alcuni database whois
, con risultati simili.
- Che cosa fa?
- Si tratta di un nuovo attacco?
- Come posso segnalarlo a PayPal?
- Come mai questo è stato inviato a un indirizzo email che è effettivamente associato a un account PayPal? C'è stata una perdita di qualche tipo? È una coincidenza?