Шахраї запустили фішингову кампанію, яка експлуатує налаштування адреси PayPal, щоб ошукати користувачів сервісу й отримати доступ до їх акаунтів. При цьому електронні листи надходять зі справжніх адрес PayPal, і обходять спам-фільтри. Як захиститися від цієї схеми.
Шахраї запустили фішингову кампанію, яка експлуатує налаштування адреси PayPal, щоб ошукати користувачів сервісу й отримати доступ до їх акаунтів. При цьому електронні листи надходять зі справжніх адрес PayPal, і обходять спам-фільтри. Як захиститися від цієї схеми.
Як повідомляє BleepingComputer, редакція видання та багато інших користувачів останнім часом отримували електронні листи від PayPal з повідомленням: «Ви додали нову адресу. Це лише швидке підтвердження того, що ви додали адресу до свого облікового запису PayPal».
В електронному листі міститься нова адреса, яку нібито було додано до облікового запису PayPal користувача, а також повідомлення, що нібито є підтвердженням покупки MacBook M4, і прохання зателефонувати за вказаним номером PayPal, якщо це не авторизована покупка.
«Підтвердження: Вашу адресу доставлення для MacBook M4 Max 1 ТБ ($1098,95) було змінено. Якщо ви не авторизували це оновлення, будь ласка, зв’яжіться з PayPal за номером», — йдеться в шахрайському листі.
Електронні листи надсилаються безпосередньо PayPal з адреси «[email protected]», що викликало у людей занепокоєння, що їхні акаунти було зламано. Однак ті, хто отримав цей лист, підтвердили, що ніяких нових адрес до їхніх акаунтів насправді не було додано. Інколи листи приходять навіть на електронні адреси, які не прив’язані до облікового запису PayPal.
Крім того, оскільки ці листи надіслані справжніми електронними поштами PayPal, вони обходять фільтри безпеки та спаму.
Мета цих листів — змусити одержувача вважати, що його акаунт було зламано для купівлі MacBook, і налякати його, щоб він зателефонував на телефонний номер «служби підтримки PayPal» шахрая.
Під час дзвінка на цей номер автоматично відтвориться запис із повідомленням про те, що користувач зателефонував до служби підтримки PayPal, і проханням почекати, доки співробітник служби підтримки не з’явиться. Після цього його спробують з'єднати зі співробітником «служби підтримки».
Шахрай намагатиметься залякати, що акаунт жертви було зламано, і переконати завантажити та запустити програмне забезпечення, щоб «допомогти» відновити доступ до акаунта і заблокувати нібито здійснену транзакцію.
Шахрай скерує на сайт на кшталт pplassist[.]com, де потрібно ввести сервісний код, наданий фальшивим працівником PayPal. Введення цього коду призведе до завантаження клієнта ConnectWise ScreenConnect [VirusTotal] з lokermy.numaduliton[.]icu або інших сайтів, який шахрай попросить запустити.
Коли зловмисник отримує доступ до комп’ютера, він намагатиметься викрасти гроші з банківських рахунків, запустити шкідливе програмне забезпечення або викрасти дані з комп’ютера.
Якщо користувач отримав справжній електронний лист від PayPal про те, що потрібно оновити свою адресу, і він містить фальшиве підтвердження покупки, його варто просто ігнорувати й не зв’язуватися з вказаним номером телефону, оскільки він належить шахраєві.
Натомість потрібно увійти до свого облікового запису PayPal і переконатися, що жодних додаткових адрес не було додано, і якщо ні, то видалити цей лист.
Шахрайські листи надсилаються зі справжньої пошти PayPal service@paypal[.]com з поштового сервера компанії й проходять перевірку безпеки електронної пошти DKIM.
В таких листах внизу є примітка: «Якщо ви хочете прив’язати свою кредитну картку до цієї адреси або зробити її своєю основною адресою, увійдіть до свого облікового запису PayPal і перейдіть до свого профілю. Оскільки ця адреса є подарунковою, ви можете надсилати на неї посилки одним кліком».
Під час тестування BleepingComputer додав нову адресу до одного з наших акаунтів і вставив фальшиве повідомлення шахрая про підтвердження покупки MacBook у поле Адреса 2.
Після збереження адреси PayPal надіслав нам той самий лист-підтвердження, повідомляючи про додану нами нову адресу, який також містив фальшиве повідомлення про покупку.
