Um golpe por email está explorando o recurso de cobrança "Subscriptions" do PayPal para enviar mensagens legítimas da plataforma que contêm notificações falsas de compras, disfarçadas no campo de URL do atendimento ao cliente.
Nas últimas semanas, usuários relataram o recebimento de emails do PayPal com a mensagem: "Seu pagamento automático não está mais ativo."
O detalhe está na URL do atendimento ao cliente, que foi alterada para incluir um texto informando a suposta compra de um item caro, como um dispositivo Sony, MacBook ou iPhone.
Esse texto inclui um nome de domínio, uma mensagem informando que um pagamento entre US$ 1.300 e US$ 1.600 foi processado (o valor varia conforme o email) e um número de telefone para cancelar ou contestar a compra.
Para dificultar a detecção por filtros de spam, o texto usa caracteres Unicode que deixam palavras em negrito ou com fontes incomuns.
Exemplo da URL encontrada no email falso:
"http://[domain] [domain] A payment of $1346.99 has been successfully processed.
For cancel and inquiries, Contact PayPal support at +1-805-500-6377."
Embora claramente se trate de um golpe, os emails são enviados diretamente do endereço legítimo do PayPal, "[email protected]", o que gera preocupação nos destinatários quanto à possibilidade de suas contas terem sido comprometidas.
Além disso, por serem legítimos, esses emails conseguem passar pelos filtros de segurança e spam.
A seguir, explicamos como os golpistas enviam essas mensagens.
O objetivo é assustar as vítimas, fazendo-as acreditar que uma compra cara foi realizada em sua conta e induzi-las a ligar para o número falso de "suporte PayPal" fornecido.
Golpes semelhantes já foram usados para levar pessoas a realizar fraudes bancárias por telefone ou instalar malware em seus dispositivos.
Portanto, se você receber um email oficial do PayPal informando que seu pagamento automático foi cancelado e conter uma falsa confirmação de compra, ignore a mensagem e não ligue para o número indicado.
Caso tenha dúvidas sobre a segurança da sua conta, acesse diretamente o site do PayPal para verificar se houve alguma cobrança.
O site BleepingComputer recebeu uma cópia desse email e destacou o fato curioso de o golpe partir de um endereço legítimo do PayPal.
Ao analisar os cabeçalhos das mensagens, constatou-se que elas passam pelas verificações de segurança DKIM e SPF, confirmando que o email foi enviado diretamente do servidor oficial do PayPal, "mx15.slc.paypal.com".
Após testes com as funções de cobrança do PayPal, a equipe do BleepingComputer conseguiu reproduzir o modelo do email usando o recurso "Subscriptions" e pausando uma assinatura.
Essa função permite que vendedores configurem cobranças recorrentes para seus clientes.
Quando uma assinatura é pausada, o PayPal envia automaticamente um email avisando que o pagamento automático foi desativado.
Porém, ao tentar inserir um texto diferente de uma URL no campo de atendimento ao cliente, o PayPal rejeitou a alteração, pois aceita apenas URLs válidas.
Assim, acredita-se que os golpistas estejam explorando uma falha no tratamento dos metadados da assinatura pelo PayPal ou usando métodos menos conhecidos, como APIs ou plataformas legadas, que permitem inserir texto inválido nesse campo.
Embora já se saiba como o email é gerado, ainda não está claro como essas mensagens são enviadas para pessoas que não possuem assinatura ativa.
Os cabeçalhos indicam que o PayPal envia o email para um endereço do tipo "[email protected]", provavelmente um assinante falso criado pelos golpistas.
Esse endereço pode ser uma lista de distribuição do Google Workspace, que encaminha automaticamente todos os emails para seus membros — que seriam as vítimas do golpe.
Esse repasse pode causar falhas nas checagens SPF e DMARC, já que o email é enviado por um servidor diferente do original.
Ao ser questionado pelo BleepingComputer sobre possíveis soluções para o problema, o PayPal preferiu não comentar, limitando-se a uma declaração oficial:
"O PayPal não tolera atividades fraudulentas e trabalha arduamente para proteger seus clientes contra golpes que evoluem constantemente.
Estamos cientes desse phishing e incentivamos todos a manter vigilância e cautela online diante de mensagens inesperadas.
Caso suspeitem de golpe, recomendamos contatar o Suporte ao Cliente diretamente pelo app do PayPal ou pela nossa página de contato."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...