Новый мошеннический метод с PayPal: фальшивые уведомления о покупках

Как работает мошенничество​

Мошенники используют систему адресов в PayPal, чтобы отправлять поддельные уведомления о добавлении нового адреса и якобы совершенной покупке.

На протяжении последнего месяца BleepingComputer и другие источники получали письма от service<at>paypal.com с текстом:

"Вы добавили новый адрес. Это просто быстрое подтверждение того, что вы добавили адрес в свою учетную запись PayPal."

Однако, кроме информации о новом адресе, письмо также содержит сообщение о покупке MacBook M4 Max 1 TB ($1098.95) и призыв немедленно позвонить по указанному номеру PayPal, если вы не совершали покупку.

"Подтверждение: ваш адрес доставки для MacBook M4 Max 1 TB ($1098.95) был изменен. Если вы не санкционировали это обновление, свяжитесь с PayPal по телефону +1-888-668-2508."

Почему это опасно?​

• Эти письма отправляет сам PayPal, используя настоящий адрес service@paypal.com, из-за чего они обходят фильтры спама и вызывают беспокойство у получателей.
• В реальности никаких новых адресов в учетных записях PayPal не добавляется. Более того, мошеннические письма приходят даже на адреса, не связанные с учетными записями PayPal.
• Цель мошенников — напугать жертву и заставить позвонить по поддельному номеру службы поддержки PayPal.

Что происходит, если позвонить?​

1. Автоответчик объявляет, что вы связались с поддержкой PayPal, и предлагает подождать оператора.
2. Мошенник убеждает вас, что ваш аккаунт взломан и предлагает помощь.
3. Вам предлагают загрузить программу для удаленного доступа, якобы для блокировки несанкционированного платежа.
4. Вам дают ссылку (например, pplassist[.]com), где вводится код, загружающий ConnectWise ScreenConnect с подозрительных сайтов (например, lokermy.numaduliton[.]icu).

После этого мошенники получают удаленный доступ к вашему компьютеру и могут:

• Украсть деньги с банковских счетов
• Установить вредоносное ПО
• Красть личные данные

Как мошенники рассылают письма от имени PayPal?​

BleepingComputer выяснили, что мошенники используют функцию "подарочных адресов" в PayPal.

1. Они добавляют новый адрес в свою учетную запись PayPal.
2. В поле "Адрес 2" вводят фальшивое сообщение о покупке MacBook.
3. PayPal автоматически отправляет подтверждение о добавлении адреса, включая этот текст.

Received: from mx1.phx.paypal.com (mx1.phx.paypal.com. [66.211.170.87])
        by mx.google.com with ESMTPS id 41be03b00d2f7-addf237d3e1si10521113a12.387.2025.02.18.07.30.09
        for <noreply_@usaea.institute>

Оставался вопрос: как мошенники рассылают эти письма на большое количество адресов?

• Они добавляют свой мошеннический адрес (например, noreply_@usaea.institute) в поле нового адреса PayPal.
• Этот адрес перенаправляет письма на другой адрес (например, bill_complete1@zodu.onmicrosoft.com) — это учетная запись Microsoft 365.
• Microsoft 365 автоматически рассылает письмо всем участникам своей группы, среди которых и жертвы мошенников.

Как защититься?​

• Игнорируйте такие письма и не звоните по указанному номеру.
• Проверяйте свою учетную запись PayPal: зайдите на сайт самостоятельно и убедитесь, что в аккаунте не появились новые адреса.
• Не скачивайте неизвестные программы по совету телефонных "специалистов".
• Если вас просят зайти на сайт и ввести код, это почти всегда попытка установить ПО для удаленного доступа.

Что должен сделать PayPal?​

• Ограничить количество символов в адресных полях (например, до 50 символов), чтобы мошенники не могли вставлять длинные фальшивые сообщения.
• Улучшить защиту от автоматической рассылки таких писем.

Источник