Пользователи и исследователи обратили внимание на мошенническую кампанию, связанную с PayPal. Злоумышленники присылают пользователям уведомления о фальшивых покупках с адреса service@paypal[.]com, обманом заставляя их предоставить удаленный доступ к своим аккаунтам.

В этом месяце журналисты издания Bleeping Computer и многие пользователи Reddit получили странные письма от PayPal, которые гласили: «Вы добавили новый адрес. Это просто быстрое подтверждение того, что вы добавили адрес в свой аккаунт PayPal».

В письмах указывался новый почтовый адрес, якобы добавленный к аккаунту PayPal жертвы, и сообщалось, что письмо является подтверждением покупки MacBook M4. Жертвам предлагалось позвонить в службу поддержки PayPal по номеру, указанному в письме, если они не санкционировали эту покупку.

Журналисты выяснили, что при звонке на указанный номер автоматически проигрывается запись, в которой сообщается, что пользователь позвонил в службу поддержки PayPal. Жертву просят подождать, пока освободится сотрудник, а затем ей отвечает мошенник. Фальшивый сотрудник поддержки стремится напугать пользователя и утверждает, что аккаунт взломан. Жертву убеждают загрузить и запустить специальное ПО, якобы необходимое для восстановления доступа к учетной записи и блокировки несанкционированной покупки.

Для этого злоумышленники направляют пользователей на сайт типа pplassist[.]com, где нужно ввести специальный код, предоставленный фальшивым сотрудником поддержки. После происходит загрузка клиента ConnectWise ScreenConnect с сайта lokermy.numaduliton[.]icu или с других ресурсов.

Разумеется, на самом деле никаких новых адресов в PayPal не добавляется. Журналисты отмечают, что они вообще получили мошенническое письмо на email-адрес, не привязанный к учетным записям PayPal.

Однако исследователей и пользователей озадачило, что письма приходили с реального адреса service@paypal.com. Кроме того, заголовки писем свидетельствовали о том, что они прошли проверку DKIM и отправлены непосредственно с почтового сервера PayPal.

Разобраться в происходящем помог текст, добавленный в конец письма. Он гласил: «Если вы хотите привязать свою кредитную карту к этому адресу или сделать его основным, войдите в свою учетную запись PayPal и перейдите в свой профиль. Поскольку это адрес для подарков, вы можете отправлять на него посылки одним кликом мыши».

Как выяснилось, адреса для подарков (gift address) — это просто дополнительные адреса, которые пользователь может добавить в свой профиль PayPal.

Журналисты Bleeping Computer протестировали эту функцию и убедились, что именно так мошенники создают свои письма. Добавив новый «подарочный адрес» к одному из своих аккаунтов, исследователи скопировали в поле Address 2 мошенническое сообщение о подтверждении покупки MacBook.

После сохранения адреса PayPal отправил журналистам то же самое письмо с подтверждением фальшивой покупки и уведомлением о новом добавленном адресе.

Дальнейший анализ заголовков писем мошенников показал, изначальное письмо было отправлено на адрес noreply_@usaea.institute — адрес электронной почты, связанный с PayPal мошенника.

Далее заголовки свидетельствовали о том, что этот email автоматически пересылает полученные сообщения на bill_complete1@zodu.onmicrosoft.com, учетную запись, связанную с тенантом Microsoft 365. Эта учетная запись, вероятно, представляет собой список рассылки, который автоматически пересылает полученные письма всем, кто находится в списке. То есть намеченным жертвам.

Исследователи отмечают, что вся эта схема работает лишь потому, что PayPal не ограничивает количество символов в полях форм адреса, что позволяет мошенникам внедрять туда свои послания. То есть для исправления ситуации PayPal достаточно ограничить количество символов в этом поле.

Представители компании пока не комментировали ситуацию.