Et cross-site script-sikkerhedshul i betalingstjenesten PayPals website har gjort det muligt at gennemføre et phishing-forsøg via en hjemmeside, der gav sig ud for at være en PayPal-side med gyldigt sikkerhedscertifikat.
Bagmændene har angiveligt brugt den falske PayPal-side til at høste personlige oplysninger, herunder login-oplysninger, personnumre og kreditkort-oplysninger fra en række personer.
Det oplyser internet-firmaet Netcraft i England.
PayPal gør det muligt for internetbrugere at gennemføre online-betalinger, der hæves på brugernes kreditkort.
PayPal-brugernes login-oplysninger har længe været et populært mål for internettets fupmagere.
I dette tilfælde skete fup-nummeret ved at lokke PayPal-brugere til at følge et ondsindet link til en sikker side under PayPals site.
Enhver, der forsøgte at tjekke sites sikkerhedscertifikat, fik vist et gyldigt 256-bit-certfikat, fortæller Netcraft-medarbejder Poul Mutton.
Linket til den falske side udnyttede en usikkerhed i PayPals site, der gjorde det muligt for fupmagerne at indsætte deres egen kode på den side, som linket returnerede. Det gjorde det muligt at høste de personlige oplysninger, oplyser Poul Mutton.
Den web-server, der blev brugt til fupnummeret, er placeret i Korea. Det falske link blev distribueret via e-mail.
