Um scam de email relacionado ao PayPal utiliza as configurações de endereço da plataforma para enviar notificações falsas de compra, enganando usuários a concederem acesso remoto aos scammers.
Esta é apenas uma rápida confirmação de que você adicionou um endereço na sua conta do PayPal."
O e-mail inclui o novo endereço que supostamente foi adicionado à sua conta PayPal, contendo também uma mensagem que se diz uma confirmação de compra de um MacBook M4, e pede para ligar para o número do PayPal incluso caso a compra não tenha sido autorizada por você.
"Confirmação: Seu endereço de envio para o MacBook M4 Max 1 TB (US$1098.95) foi alterado.
Se você não autorizou esta atualização, por favor entre em contato com o PayPal no +1-888-668-2508", lê-se no email do scam.
Os e-mails estão sendo enviados diretamente pelo PayPal do endereço "[email protected]", fazendo com que as pessoas fiquem preocupadas de terem suas contas hackeadas.
Contudo, aqueles que receberam este email confirmaram que nenhum novo endereço foi de fato adicionado às suas contas.
No nosso caso, o email de scam foi enviado para um endereço de email que não possui uma conta PayPal vinculada.
Além disso, como os emails são emails legítimos do PayPal, eles estão passando pelos filtros de segurança e spam.
Na próxima seção, explicaremos como os scammers enviam esses e-mails.
O objetivo desses emails é enganar os destinatários fazendo-os pensar que sua conta foi hackeada para comprar um MacBook e assustar o destinatário do email fazendo-o ligar para o número de "suporte" do PayPal do scammer.
Ao ligar para o número, uma gravação será automaticamente reproduzida informando que você alcançou o atendimento ao cliente do PayPal e para aguardar enquanto uma pessoa de suporte se torna disponível.
A ligação, então, tentará conectar você a uma pessoa de "suporte ao cliente".
Esse scammer tentará assustá-lo fazendo-o pensar que sua conta foi hackeada e convencê-lo a baixar e executar o software para que eles possam "ajudar" você a recuperar o acesso à conta e bloquear a suposta transação.
O scammer o direcionará para visitar um site como pplassist[.]com e inserir um código de serviço fornecido pelo falso funcionário do PayPal.
Inserir este código baixará um cliente ConnectWise ScreenConnect [VirusTotal] de lokermy.numaduliton[.]icu ou outros sites, o qual o scammer pedirá para você executar.
Neste ponto, desligamos na cara do scammer e não executamos o programa em nossos dispositivos.
No entanto, em scams anteriores como este, uma vez que o ator de ameaça ganha acesso ao computador, ele tenta roubar dinheiro de contas bancárias, instalar malware or roubar dados do computador.
Portanto, se você receber um email legítimo do PayPal afirmando que você atualizou seu endereço, e ele contém uma confirmação de compra falsa, simplesmente ignore o email e não contate o número de telefone listado, pois ele pertence ao scammer.
Para estar seguro, em vez disso, faça login na sua conta PayPal e confirme se nenhum endereço adicional foi adicionado e, se não, descarte o email.
Além disso, os cabeçalhos de email mostram que os e-mails são legítimos, passando pelas verificações de segurança do email DKIM e originando diretamente do servidor de email do PayPal, conforme mostrado abaixo.
Não estava claro inicialmente como esses emails legítimos estavam sendo enviados pelo PayPal até notarmos este texto no final do email.
"Se você quer vincular seu cartão de crédito a este endereço, ou torná-lo seu endereço principal, faça login na sua conta PayPal e vá até seu Perfil", lê-se na notificação de e-mail do PayPal.
"Uma vez que este endereço é um endereço de presente, você pode enviar pacotes para ele com apenas um clique."
Pesquisas adicionais revelaram que "endereços de presente" são apenas endereços adicionais que você pode adicionar ao seu perfil PayPal.
Após salvar o endereço, o PayPal nos enviou o mesmo email de confirmação, nos notificando sobre o novo endereço que adicionamos, que também incluía a mensagem de compra falsa.
Agora que sabemos como eles estão gerando o email do PayPal, ainda não sabemos como estão conseguindo que o PayPal o envie a todos os alvos.
Após uma análise mais aprofundada dos cabeçalhos de email, podemos ver que o email está sendo na realidade enviado para o endereço "[email protected]", que é o endereço de email associado ao endereço do scammer no PayPal.
Os cabeçalhos mostram ainda que este endereço de email automaticamente encaminha o email que recebe para "[email protected]", uma conta associada a um inquilino do Microsoft 365.
Esta conta provavelmente é uma lista de distribuição, que automaticamente encaminha qualquer email que recebe para todos os outros membros do grupo.
Neste caso, os membros são você e eu, os alvos do scammer.
Quando eles adicionam o endereço de scam ao PayPal, a plataforma de pagamento enviará um email de confirmação para o email do ator de ameaça, que então o encaminhará para a conta do Microsoft 365, que por sua vez o encaminha para todos na lista de distribuição, conforme mostrado no fluxograma abaixo.
O PayPal permite esse scam por não limitar o número de caracteres nos campos de formulário de endereço, permitindo que os atores de ameaça injetem sua mensagem de scam.
Para corrigir isso, o PayPal precisa restringir o número de caracteres no campo de endereço para uma contagem de caracteres razoável, como 50 caracteres, se não menos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...