どうやらセキュリティが非常に疑わしいPaypal関連サイト

Question

歴史

今日の午後、「Paypal@e.Paypal.com」からmailed-by: na.e.Paypal.comおよびsigned-by: e.Paypal.com。 Gmailはそれをスパム/フィッシング/不審なものとして報告せず、直接私の受信トレイに届いたため、MXレコードをチェックアウトする必要があります。
電子メールは this url に効果的にリンクされています。
URLをクリックすると、VerisignからのPaypal IncのClass 3 EV証明書が付いたHTTPS暗号化されたWebサイトが表示されます。これは取得ができない簡単です。

すべてのアカウントで、サイトが正当なPaypalプロパティであるようです。

しかしその後、事態は非常に疑わしくなります。

そのページで[続行]をクリックするとメールアドレスフィールドにテキストを入力してもしなくても、機能します-「ログイン」サイト。確かに、ページ上部の「ログイン」ボタンは「ログアウト」ボタンに変わります。基本的には煙幕です。

次に、すぐに、他のドメインからのクロスドメイン広告を表示するウィンドウが表示され、商品を購入できるようになります。 Paypalより多くのお金を得るためにサードパーティの広告（おそらく悪意のある/疑わしい）を表示する以外に、このWebサイトの目的は何ですか？

これはまったく意味がありません。このレベルの愚かなサイトにクラス3 EV証明書を掲載しても構わないとしたら、会社としてのPaypalに対する私の信頼を揺るがします。また、「招待者のみが利用可能」は完全に嘘です。全世界の任意のコンピュータにアクセスして[続行]をクリックすると、その価値があるすべての（つまり、基本的には何もない）ために「続行」できます。

私の懸念は、彼らがそのようなナンセンスなセキュリティを備えたウェブサイトを実装したことです。特定のユーザーにのみ「招待」を送信しました。そして、まるで彼らがこのホグウォッシュを支持するかのように、その上にEV証明書を置くようにゴールにかけました。サイトを訪問するのに十分なほど愚かである誰かに広告を表示したいだけなのに、メールの「ログイン」画面が表示されるという問題が発生するのはなぜですか。

kiBytes · Accepted Answer

私はさらに調査を行っています。特別なサイトには「Paypal、Inc. [US]」証明書があり、Paypalのオリジナルサイトには「Paypal、Inc. [US]」証明書があります（Incの後のドットに注意）。

証明書には、次の（関連する）情報が含まれています。

CN = www.Paypal-special.com OU = Partner Support O = Paypal, Inc STREET = 2211 N 1st St L = San Jose S = California PostalCode = 95131-2021 C = US SERIALNUMBER = 3014267 2.5.4.15 = Private Organization 1.3.6.1.4.1.311.60.2.1.2 = Delaware 1.3.6.1.4.1.311.60.2.1.3 = US CN = www.Paypal.com OU = Paypal Production O = Paypal, Inc. STREET = 2211 N 1st St L = San Jose S = California PostalCode = 95131-2021 C = US SERIALNUMBER = 3014267 2.5.4.15 = Private Organization 1.3.6.1.4.1.311.60.2.1.2 = Delaware 1.3.6.1.4.1.311.60.2.1.3 = US

ここにも奇妙なことがあり、両方の証明書のシリアル番号が同じです。

しかし、この証明書は2年間（3 000ドル）と非常に高額であるため、ページは合法であるが少し見捨てられており、十分な努力を払っていないと思います。

また、ドメイン情報については、以下のデータ（証明書情報と一致）が見つかります。

Domain Name: Paypal-special.com Registry Domain ID: Registrar WHOIS Server: whois.markmonitor.com Registrar URL: http://www.markmonitor.com Updated Date: 2013-12-23T04:01:12-0800 Creation Date: 2013-10-23T16:12:23-0700 Registrar Registration Expiration Date: 2015-10-23T16:12:24-0700 Registrar: MarkMonitor, Inc. Registrar IANA ID: 292 Registrar Abuse Contact Email: Registrar Abuse Contact Phone: +1.2083895740 Domain Status: clientUpdateProhibited Domain Status: clientTransferProhibited Domain Status: clientDeleteProhibited Registry Registrant ID: Registrant Name: Host Master Registrant Organization: Paypal Inc. Registrant Street: 2065 Hamilton Avenue, Registrant City: San Jose Registrant State/Province: CA Registrant Postal Code: 95125 Registrant Country: US Registrant Phone: +1.4083767400 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: Registry Admin ID: Admin Name: Domain Administrator Admin Organization: eBay Inc. Admin Street: 2145 Hamilton Avenue Admin City: San Jose Admin State/Province: CA Admin Postal Code: 95125 Admin Country: US Admin Phone: +1.4083767400 Admin Phone Ext: Admin Fax: +1.4083767514 Admin Fax Ext: Admin Email: Registry Tech ID: Tech Name: Host Master Tech Organization: Paypal Inc. Tech Street: 2211 North First Street Tech City: San Jose Tech State/Province: CA Tech Postal Code: 95131 Tech Country: US Tech Phone: +1.4083767400 Tech Phone Ext: Tech Fax: Tech Fax Ext: Tech Email:

Anne Palokangas · Answer

Paypal@e.Paypalからeasterdayの電子メールを受け取り、それがPaypalからのものではない可能性があると思ったので、それをspoof@Paypal.comに転送しました。「こんにちは、アンパロカンガス、不審なメールを転送していただきありがとうございます。正解です。フィッシングの試みでした。詐欺の防止に取り組んでいます。問題を報告することで、違いが生まれました。！IDの窃盗犯は、フィッシングメールや偽のWebサイトを介して、パスワードやその他の個人情報をだまそうと試みます。オンラインの安全性について詳しくは、Paypalのウェブページで[セキュリティセンター]をクリックしてください。すべてのメールがカウントされます。疑わしいメールを転送すると、 spoof@Paypal.com宛てに送信すると、自分や他のユーザーがIDの盗難から安全に保護されるようになります。」

me_and · Answer

「セキュリティシアター」、つまり企業や組織が人々を実際に作ることなくfeelより安全にするbeより安全にすることの話をよく耳にします。このサイトの「セキュリティ」はそのように聞こえます。

ただし、飛行機とは異なり、このサイトは実際に安全である必要はありません。 Paypalのパスワードは収集されません。支払いは処理されません。広告リンクを提供し、（おそらく）いくつかのリファラーCookieを設定するだけです。通常のPaypalドメインにもありません。

ここでの「セキュリティ」とは、人々がPaypalへの安全な接続を期待しているからです。それはマーケティングであり、実際のセキュリティではありません。 Paypalは、実際に安全にするためにお金を投資していません。理由はありません。

（もちろん、マーケティングはここで失敗した可能性があります。なぜなら、「セキュリティ」が表面下を見た場合には明らかに明白すぎるためですが、それはまだセキュリティの失敗というよりはマーケティングの失敗です。）

2011年にハッキングされたCIA Webサイトの xkcdも参照してください –ハッキングされたサーバーは、特に安全である必要があるサーバーではないため、問題ではありません。