Carder.life - Фишеры используют в своих атаках адреса для подарков в PayPal

Пользователи и исследователи обратили внимание на мошенническую кампанию, связанную с PayPal. Злоумышленники присылают пользователям уведомления о фальшивых покупках с адреса service@paypal[.]com, обманом заставляя их предоставить удаленный доступ к своим аккаунтам.
В этом месяце журналисты изданияhttps://www.bleepingcomputer.com/new...ishing-emails/ и многие https://www.reddit.com/r/paypal/comm..._changed_scam/https://www.reddit.com/r/Scams/comme...s_all_filters/получили странные письма от PayPal, которые гласили: «Вы добавили новый адрес. Это просто быстрое подтверждение того, что вы добавили адрес в свой аккаунт PayPal».
В письмах указывался новый почтовый адрес, якобы добавленный к аккаунту PayPal жертвы, и сообщалось, что письмо является подтверждением покупки MacBook M4. Жертвам предлагалось позвонить в службу поддержки PayPal по номеру, указанному в письме, если они не санкционировали эту покупку.
https://xakep.ru/wp-content/uploads/...ress-email.jpg
Журналисты выяснили, что при звонке на указанный номер автоматически проигрывается запись, в которой сообщается, что пользователь позвонил в службу поддержки PayPal. Жертву просят подождать, пока освободится сотрудник, а затем ей отвечает мошенник. Фальшивый сотрудник поддержки стремится напугать пользователя и утверждает, что аккаунт взломан. Жертву убеждают загрузить и запустить специальное ПО, якобы необходимое для восстановления доступа к учетной записи и блокировки несанкционированной покупки.
Для этого злоумышленники направляют пользователей на сайт типа pplassist[.]com, где нужно ввести специальный код, предоставленный фальшивым сотрудником поддержки. После происходит загрузка клиента https://www.virustotal.com/gui/file/...2bd22e1dfa56d8 с сайта lokermy.numaduliton[.]icu или с других ресурсов.
Разумеется, на самом деле никаких новых адресов в PayPal не добавляется. Журналисты отмечают, что они вообще получили мошенническое письмо на email-адрес, не привязанный к учетным записям PayPal.
Однако исследователей и пользователей озадачило, что письма приходили с реального адреса mailto:[email protected]. Кроме того, заголовки писем свидетельствовали о том, что они прошли проверку DKIM и отправлены непосредственно с почтового сервера PayPal.
https://xakep.ru/wp-content/uploads/...04445/mail.png
Разобраться в происходящем помог текст, добавленный в конец письма. Он гласил: «Если вы хотите привязать свою кредитную карту к этому адресу или сделать его основным, войдите в свою учетную запись PayPal и перейдите в свой профиль. Поскольку это адрес для подарков, вы можете отправлять на него посылки одним кликом мыши».
Как выяснилось, адреса для подарков (gift address) — это просто дополнительные адреса, которые пользователь может добавить в свой профиль PayPal.
Журналисты Bleeping Computer протестировали эту функцию и убедились, что именно так мошенники создают свои письма. Добавив новый «подарочный адрес» к одному из своих аккаунтов, исследователи скопировали в поле Address 2 мошенническое сообщение о подтверждении покупки MacBook.
После сохранения адреса PayPal отправил журналистам то же самое письмо с подтверждением фальшивой покупки и уведомлением о новом добавленном адресе.
Дальнейший анализ заголовков писем мошенников показал, изначальное письмо было отправлено на адрес mailto:[email protected]ute — адрес электронной почты, связанный с PayPal мошенника.
Далее заголовки свидетельствовали о том, что этот email автоматически пересылает полученные сообщения на mailto:[email protected], учетную запись, связанную с тенантом Microsoft 365. Эта учетная запись, вероятно, представляет собой список рассылки, который автоматически пересылает полученные письма всем, кто находится в списке. То есть намеченным жертвам.
https://xakep.ru/wp-content/uploads/...ttack-flow.jpg
Исследователи отмечают, что вся эта схема работает лишь потому, что PayPal не ограничивает количество символов в полях форм адреса, что позволяет мошенникам внедрять туда свои послания. То есть для исправления ситуации PayPal достаточно ограничить количество символов в этом поле.
Представители компании пока не комментировали ситуацию.
https://xakep.ru/2025/02/24/paypal-scam/