Fake PayPal site

[ARGUS]

Zo begint de infectie

(Klik bovenstaande afbeelding aan voor een vergroting!)

(Klik bovenstaande afbeelding aan voor een vergroting!)

De Fake Site

(Klik bovenstaande afbeelding aan voor een vergroting!)

De juiste Site

(Klik bovenstaande afbeelding aan voor een vergroting!)

De standalone scanner van Avira Antivir vind 3 infecties

[Tom Poes]

Na het lezen van je waarschuwing was ik benieuwd naar de URL van beide sites. Mijn bank zegt, dat het veilig is als er https// in staat.
Maar de fake Paypal site heeft ook https// en daarvoor het Verisign logo.

Zo wordt het haast onmogelijk om te zien welke de goede site is.

Goede tips en waarschuwingen op deze site:
http://www.fightidentitytheft.com/paypal_scam.html

Hier staat ook het advies van Paypal zelf:

"Here's what PayPal says on the subject of scam websites:

Please follow these tips to keep your account secure:

Only enter your PayPal password on pages where the URL begins with https://www.paypal.com/. Even if the URL contains the word 'PayPal', it may not be a PayPal webpage.

These "spoof" websites try to imitate PayPal in order to obtain your PayPal password and access to your account. Spoof websites we encountered in the past have included: www.paypalnet.com, www.paypa1.com, and www.paypalsecure.com.

Some spoof websites will send emails that pretend to come from PayPal to entice you to log in at the spoof URL. Be especially cautious of emails that direct you to a website asking for sensitive information such as your password, credit card, or bank account information. Remember, you can recognize a spoof email if it suggests that you log in to a URL that does not begin with exactly https://www.paypal.com/."



Nog een site met goede informatie, maar weer het advies om te vertrouwen op die https in de URL:
http://www.askdavetaylor.com/how_can...pal_email.html

Nu kan ik zo'n fake site dus toch niet herkennen aan de https in de URL, zelfs niet aan het Verisign ervóór

[Roxy90]

Denk dat ze die https:// expres hebben toegevoegd om meer vertrouwen te kweken bij de slachtoffer. Trouwens word er ook soms misbruik gemaakt van de certificaten.

http://nl.wikipedia.org/wiki/HTTPS
http://www.vdx.nl/producten/ssl
http://www.websonic.nl/pctips/intern...ontroleren.php

[Tom Poes]

Denk dat ze die https:// expres hebben toegevoegd om meer vertrouwen te kweken bij de slachtoffer. Trouwens word er ook soms misbruik gemaakt van de certificaten.

Ja, dat eerste lijkt mij ook, maar er is geen site, die daarop wijst. Misbruik van de certificaten blijkt ook niet uit jouw links, alleen dat je een SSL certificaat kunt kopen. Als er dan misbruik van gemaakt wordt kan je al op een fake site terecht komen?

De PayPal fake site, die Argus liet zien toont deze URL:



Met Verisign logo, met https// en paypal.com.
Daar hebben ze in de URL iets aan toegevoegd, maar dat kan bij de echte PayPal ook.

Mijn vraag is simpelweg: hoe weet ik, dat ik op de echte site van een bank, PayPal o.i.d. zit en niet op een fake site?

[Eagle Creek]

Ja, dat eerste lijkt mij ook, maar er is geen site, die daarop wijst.

Klopt. Maar banken wijzen er toch wel op dat het certificaat zelf moet kloppen?

Overigens is de afbeelding die jij toont erg misleidend. Geef mij die link eens a.u.b?

[Roxy90]

Blijkbaar word het domein niet gecontroleerd als men een https:// protocol koopt. Opzich wel logisch, want fake sites zitten ook (nog) in de lucht .

http://www.bedrijvenweb.nl/hosting/w...l_certificaat/

Mijn vraag is simpelweg: hoe weet ik, dat ik op de echte site van een bank, PayPal o.i.d. zit en niet op een fake site?

Goede vraag, hoor. Misschien moet je denken aan spelfouten of eventueel de link kopieeren en plakken in Google en kijken of er wat forum discussies er over zijn, of kijken of het juiste IP-adres is gekoppeld aan de juiste site van PayPal. Hoewel ik de eerste keer een waarschuwing krijg en de twee keer (via IP) er gewoon in mag.



Leuke links van https:// van een paar jaar terug:

http://www.waarmaarraar.nl/forum/10/.../0/PayPal.html
http://www.camperforum.nl/viewtopic.php?p=299342

[Eagle Creek]

Blijkbaar word het domein niet gecontroleerd als men een https:// protocol koopt.

Een protocol koop je niet. Een protocol is een afspraak, net als een wet.
Je koopt een (webserver) certificaat.

IP-adressen zijn niet heel veel zeggend, daar deze kunnen wijzigen.

[amiek]

Ik denk dat Roxy bedoelt: als je een certificaat koopt.

Ik vind die site van Argus ook wel erg misleidend. Dat ziet een "normaal" mens echt niet, dat het een fake-site is.

[Eagle Creek]

Ben ik nou zo gek dat ik de hele tijd over de link heen kijk ?

[Tom Poes]

Overigens is de afbeelding die jij toont erg misleidend. Geef mij die link eens a.u.b?

Zie PB.

[Roxy90]

Ik denk dat Roxy bedoelt: als je een certificaat koopt.

Nee, EC heeft mij goed begrepen.

Ik had het van Wiki gestolen:

Het protocol HTTPS staat voor HyperText Transfer Protocol Secure.

HTTPS is een uitbreiding op het HTTP-protocol met als doel een veilige uitwisseling van gegevens.

http://nl.wikipedia.org/wiki/HTTPS

Ik vind die site van Argus ook wel erg misleidend. Dat ziet een "normaal" mens echt niet, dat het een fake-site is.

Inderdaad.

==

@ARGUS: kwamen die malware-treads tijdens de scan naar voren of dat je naar die site toe ging?

http://nl.wikipedia.org/wiki/VBScript

PS: eerste keer kennismaking gemaakt met '''Powershell'' binnen Windows 7! Ik wist geen eens dat dat er was.

[amiek]

Je kunt toch geen protocollen kopen, Roxy. HTTPS is een protocol, net als http, die bestaan, maar zijn niet te koop.
Ik heb eigenlijk nog nooit gehoord dat een fake site een geldig Verisign certificaat heeft. Dat lijkt me niet kunnen. En het certificaat van die site is echt, dus kan het haast niet anders of die site zelf is echt.

[Roxy90]

Héh gut, ik bedoel gewoon dat je recht hebt om https:// voor de site te gebruiken. En dat kost extra geld die certificaat voor https://.

[Eagle Creek]

En dat kost extra geld die certificaat voor https://.

Nee. Een certificaat kun je zelf maken, helemaal gratis.

Maar dat is een andere discussie, als je die wilt voeren even een eigen topic a.u.b.

[sperwer]

Als je firefox gebruikt kun je de Perspectives add-on gebruiken.
Die controleert de consistentie van de certificaten via verschillende servers.

http://www.networknotary.org/firefox.html

[Eagle Creek]

De PayPal fake site, die Argus liet zien toont deze URL:

Voor de duidelijkheid, dit is dus de echte site.

[Tom Poes]

Als je firefox gebruikt kun je de Perspectives add-on gebruiken.
Die controleert de consistentie van de certificaten via verschillende servers.

http://www.networknotary.org/firefox.html

Bedankt voor de link, Sperwer!

Voor de duidelijkheid, dit is dus de echte site.

Inmiddels ben ik weer helemaal op de hoogte, with a little help from a friend
Ik was helemaal de weg kwijt

Nu weet ik weer, dat de tekst in een link niet alles zegt over de site waar je terecht komt en dat je altijd de adresbalk in je browser moet controleren. En dat https// en het verisign (of andere beveiliging) in orde zijn. En dat wist ik natuurlijk al.

Ik wil, behalve mezelf, niemand de schuld geven, maar de plaatjes in de post van Argus gaven geen URL en ik weet nog niet, waarom de ene "fake" is en de andere echt.
En ik heb, na het zoeken op "fake paypal site", wat ik vond verkeerd gelezen/begrepen.
Beetje dom.

[Eagle Creek]

Ik begon al aan mijzelf te twijfelen .

Ik sluit overigens niet uit dat je zo'nzelfde soort afbeelding te zien zou krijgen als de pc al geïnfecteerd is. Immers: als iemand diepe controle heeft over jouw pc, kan hij je vrijwel alles laten zien wat hij wil.

[Emphyrio]

http://blog.zapup.com/2011/01/oplett...e-paypalsites/

[Eagle Creek]

Niet helemaal hetzelfde, maar wel interessant.
Meer malware met legitieme certificaten getekend: http://www.security.nl/artikel/37540...mpaign=rssfeed.

Ik vraag me af of deze (legitiem ogende!) ingetrokken certificaten daarmee te maken hebben:


(Klik bovenstaande afbeelding aan voor een vergroting!)