Questo kit phishing, analizzato di recente dai ricercatori di Akamai, consente di fare molto di più rispetto al furto di credenziali di accesso a siti e servizi. Infatti, oltre ai nomi utente e password, il kit, che sfrutta il logo e il design di PayPal, la popolarissima piattaforma di pagamento online, induce gli utenti a compilare diversi moduli di raccolta informazioni che, in una fase successiva, consentono di rubare l'identità della vittima, al fine di effettuare operazioni di riciclaggio di denaro, aprire conti per le criptovalute e addirittura presentare richieste fraudolente di detrazione fiscale, fra le altre cose.
Il kit risulta molto sofisticato, poiché presenta innanzitutto una pagina Captcha funzionante che sembra davvero legittima. Nei passaggi successivi, l'utente viene indotto a inserire le proprie credenziali di accesso al conto PayPal, per poi aprire un avviso relativo ad attività anomale sul conto, che occorre verificare inserendo i dati della carta di credito, CCV incluso, con nome, data di nascita, indirizzo postale e numero di telefono, il pin della carta Bancomat, il numero di codice fiscale (SSN negli USA), e addirittura il nome da nubile della propria madre, seguiti dalle credenziali di accesso all'e-mail e la foto di un documento di identità in corso di validità e una foto dell'utente, tipo selfie, per confermare l'identità dell'utente.
Anche la successiva pagina di verifica è studiata per essere "rassicurante" e convincere l'utente della legittimità dell'operazione. Certo, i dati richiesti sono alquanto anomali, dato che nessun servizio di questo tipo chiede mai credenziali come quelle dell'e-mail o il PIN di una carta Bancomat, ma purtroppo non tutti gli utenti hanno un grado sufficiente di preparazione a fronte di situazioni di questo tipo.
Dal punto di vista tecnico, chi sfrutta questo kit prende di mira siti WordPress regolari, applicando anche attacchi brute-force per recuperare le credenziali dell'account di amministrazione e installare un plugin di gestione file al fine di caricare il kit phishing sul relativo spazio web. Inoltre, tra gli strumenti usati dall'autore del kit, ce n'è uno che consente di riscrivere gli URL ed eliminare la parte .php alla fine, per non destare sospetti.
Le pagine phishing a tema PayPal usate dal kit possono trarre in inganno facilmente vista la loro apparente credibilità, senza contare che non tutti gli antivirus sono dotati di strumenti avanzati contro il phishing, di conseguenza occorre prestare molta attenzione e, in caso di domande sospette come la richiesta di credenziali esterne al servizio PayPal o il PIN della vostra carta, è opportuno interrompere immediatamente l'operazione e contattare l'assistenza del servizio.