Egy jelenleg is aktív PayPalos e-mailes átverés kihasználja a platform címbeállításait, hogy hamis vásárlási értesítéseket küldjön. Ezzel pedig rávegye a felhasználókat, hogy távoli hozzáférést biztosítsanak a csalóknak. Az elmúlt hónapban elég sokan kaptak egy e-mail értesítést a PayPaltól. Ebben az állt: „Ön új címet adott hozzá. Ez csak egy gyors megerősítés arról, hogy hozzáadott egy címet a PayPal-fiókjához„. Az e-mail tartalmazza az új címet, amelyet állítólag hozzáadtak a PayPal-fiókjához. Valamint egy üzenet is csatolásra kerül, amely egy MacBook M4 vásárlási visszaigazolásának tűnik. Az üzenet végén felszólítják a címzettet, hogy hívja a megadott PayPal-számot, ha nem engedélyezte a vásárlást.
A csalás további lépései
Az e-maileket közvetlenül a „service@paypal.com” címről küldik, amely miatt az emberek joggal tarthatnak attól, hogy feltörték a fiókjukat. Azok azonban, akik kaptak ilyen e-mailt, gyorsan meggyőződhettek róla, hogy valójában nem kerültek új címek hozzáadásra a fiókjukhoz. Viszont az e-mailek legitim PayPal e-mailek, így megkerülik a biztonsági és spamszűrőket. Ezeknek az e-maileknek az a célja, hogy a címzetteket rávegyék, hogy a fiókjuk miatti félelem által hajtva felhívják a csaló PayPal ügyfélszolgálati telefonszámot. A szám hívásakor automatikusan lejátszódik egy hangfelvétel. Ez azt mondja, hogy a PayPal ügyfélszolgálatát hívta a felhasználó, és hogy tartsa, amíg egy ügyfélszolgálati munkatárs elérhetővé válik.
Ezután megpróbálja összekapcsolni a hívót egy ügyfélszolgálatosnak tűnő személlyel. Ez a csaló aztán megpróbálja megijeszteni a hívót és megkéri, hogy töltsön le és futtasson le egy szoftvert. Hogy így visszaszerezhesse hozzáférését a számlájához, és blokkolja az állítólagos tranzakciót. Konkrétan egy olyan oldal felkeresésére kérik a csalók az ügyfelet, mint mondjuk a pplassist[.]com, majd itt egy kód megadására kérik. A kód megadásával aztán letöltődik gy ConnectWise ScreenConnect nevű kliensprogram, aminek futtatására kérik az ügyfelet.
A korábbi, ehhez hasonló átveréseknél azonban, miután a fenyegető szereplő hozzáférést szerzett a számítógéphez, megpróbál pénzt lopni a bankszámlákról, rosszindulatú programokat telepíteni, vagy adatokat lopni a számítógépről. Ezért ha a PayPaltól kapsz egy legitim e-mailt, amelyben azt állítják, hogy új e-mail címet adtál hozzá és vásároltál valamit, akkor egyszerűen töröld az e-mailt.
A PayPalos átverés titka egy PayPal funkcióban rejlik
Ami a legnagyobb veszély és probléma a csalásban, hogy az e-mailek tényleg legitimek. Átmennek a különböző e-mail biztonsági ellenőrzéseken, és közvetlenül a PayPal levelezőszerveréről származnak. A BleepingComputer elemzése alapján igazából a levél alján egyetlen mondat rejti a magyarázatot. Ebben az áll, hogy „Ha ehhez a címhez szeretné kapcsolni a bankkártyáját, vagy elsődleges címévé tenni, jelentkezzen be a PayPal-fiókjába, és lépjen be a Profiljába.” További kutatás során kiderült, hogy ezek az úgynevezett ajándék címek csak további címek, amelyeket hozzáadhat alaki a PayPal-profiljához. Egy teszt során a BleepingComputer egy új címet adott hozzá az egyik fiókhoz, és beillesztette a csaló hamis MacBook-vásárlást visszaigazoló üzenetet az Address 2 mezőbe. A cím elmentése után a PayPal ugyanazt a megerősítő e-mailt küldte, amelyben eredetileg is értesítést küldött a hozzáadott új címről és a hamis vásárlási üzenetről. Tehát így lehet generálni egy e-mailt a PayPaltól.
A levélcímek további elemzése után a BleepingComputer azt találta, hogy az e-mailt valójában a „noreply_@usaea.institute” címre küldik, amely a csaló PayPal-címéhez tartozó e-mail cím.
A fejlécekből az is kiderül, hogy ez az e-mail cím automatikusan továbbítja a kapott e-maileket a „bill_complete1@zodu.onmicrosoft.com” címre, amely egy Microsoft 365 használó fiókja. Ez a fiók valószínűleg egy levelezőlista, amely automatikusan továbbítja a hozzá érkező e-maileket a csoport összes többi tagjának. Ebben az esetben a tagok a csalók célpontjai. Amikor hozzáadják a csaló címet a PayPal-hoz, a fizetési platform visszaigazolást küld a csaló e-mail címére. Ez továbbítja azt a Microsoft 365 fióknak, amely pedig továbbítja azt a levelezőlistán szereplő összes tagnak. A probléma megoldása érdekében a PayPalnak ésszerű karakterszámra, például 50 karakterre kell korlátoznia a cím mezőben lévő karakterek számát, ha nem kevesebbre.
Érdekelhet még: Új csalási taktikával támadnak az AI kereskedési botok
