Мошенники используют функцию PayPal для рассылки писем с поддельными уведомлениями о покупках

Мошенники начали злоупотреблять функцией «Подписки» в системе PayPal для рассылки легитимных писем от имени системы с поддельными уведомлениями о покупках.

За последние несколько месяцев пользователи сообщали о получении писем от имени PayPal с сообщением: «Ваш автоматический платёж больше не активен». В нём содержится модифицированное поле URL-адреса службы поддержки клиентов с сообщением о том, что человек приобрёл дорогостоящий товар, например, устройство Sony, MacBook или iPhone. Текст включает доменное имя, сообщение о том, что был обработан платёж в размере от $1300 до $1600, и номер телефона для отмены или оспаривания платежа. Текст заполнен символами Unicode, из-за чего некоторые его части отображаются жирным или необычным шрифтом.

«http://[domain] [domain] Платеж в размере 1346,99 долларов США успешно обработан. Для отмены и получения дополнительной информации обратитесь в службу поддержки PayPal по телефону +1-805-500-6377», — гласит URL-адрес службы поддержки в мошенническом электронном письме. 

Хотя это явно мошенничество, электронные письма отправляются напрямую PayPal с адреса «[email protected]», что заставляет пользователей обеспокоиться возможным взломом своих учётных записей. Более того, поскольку эти письма являются подлинными, они обходят фильтры безопасности и спама. Если человек всё же позвонит по номеру телефона «службы поддержки PayPal» мошенника, то подвергнется фишингу. Так, его могут обманом заставить установить вредоносное ПО.

В BleepingComputer получили копию такого электронного письма. Заголовки сообщения указывают на то, что письма являются подлинными, проходят проверку безопасности DKIM и SPF и исходят непосредственно с почтового сервера PayPal «mx15.slc.paypal.com». После тестирования