Мошенники маскируются под службу поддержки PayPal для кражи данных: как защититься
Мошенник попытается запугать вас, заставив подумать, что ваш аккаунт был взломан, и убедить вас загрузить и запустить программное обеспечение, чтобы он мог помочь вам восстановить доступ к аккаунту и заблокировать предполагаемую транзакцию
Мошенники рассылают фальшивые письма от PayPal, чтобы обманом завладеть личными данными пользователей, сообщает BleepingComputer. Рассказываем подробности.
За последний месяц BleepingComputer и другие получили электронные письма от PayPal, в которых говорилось: «Вы добавили новый адрес. Это просто быстрое подтверждение того, что вы добавили адрес в свой аккаунт PayPal». В письме указан новый адрес, которая якобы была добавлена в ваш аккаунт PayPal, а также сообщение, выдаваемое за подтверждение покупки MacBook M4, и просьба позвонить по указанному номеру PayPal, если вы не авторизовали покупку.
«Подтверждение: Ваш адрес доставки MacBook M4 Max 1 ТВ ($1098.95) был изменен. Если вы не разрешали это обновление, свяжитесь с PayPal по телефону +1-888-668-2508», - говорится в мошенническом письме.
Письма направляются PayPal непосредственно с адреса «service@paypal.com», что вызывает у людей опасения, что их аккаунт был взломан. Однако получившие это письмо подтвердили, что никаких новых адресов на самом деле не было добавлено в их учетные записи. В нашем случае мошенническое письмо отправлено по электронной почте без учетной записи PayPal. Более того, поскольку эти письма являются легитимными письмами PayPal, они обходят фильтры безопасности и спама. В следующей главе мы объясним, как мошенники посылают эти письма. Цель этих писем – заставить получателей поверить, что их учетная запись была сломана с целью покупки MacBook, и напугать получателя, чтобы он позвонил по телефону «службы поддержки PayPal» мошенника.
При вызове на номер автоматически воспроизводится запись, сообщающая, что вы позвонили в службу поддержки клиентов PayPal и что вам следует подождать, пока не уволится сотрудник службы поддержки. Затем вызов попытается соединить вас с сотрудником службы поддержки клиентов. Этот мошенник попытается запугать вас, заставив подумать, что ваш аккаунт был взломан, и убедить вас загрузить и запустить программное обеспечение, чтобы он мог «помочь» вам восстановить доступ к аккаунту и заблокировать предполагаемую транзакцию. Мошенник направит вас на сайт типа pplassist[.]com и введет код сервиса, предоставленный фальшивым сотрудником PayPal. Ввод этого кода загрузит клиент ConnectWise ScreenConnect [VirusTotal] из lokermy.numaduliton[.]icu или других сайтов, который мошенник попросит вас запустить.
На этом следует прекратить общение с мошенником и не начинать запускать программу на своих устройствах. Однако в предыдущих мошеннических схемах, подобных этой, как только злоумышленник получал доступ к компьютеру, он пытался украсть деньги с банковских счетов, внедрить вредоносное ПО или украсть данные с компьютера. Поэтому, если вы получили законное электронное письмо от PayPal, в котором говорится, что вы обновили свой адрес, и в нем содержится поддельное подтверждение покупки, просто проигнорируйте его и не звоните по указанному номеру телефона, поскольку он принадлежит мошеннику. Чтобы обезопасить себя, войдите в свой аккаунт PayPal и убедитесь, что не было добавлено никаких дополнительных адресов, а если нет, удалите это письмо.
Как работает мошенничество PayPal
Когда BleepingComputer впервые получил это письмо, мы были смущены, поскольку письмо было отправлено с адреса service@paypal.com по адресу электронной почты, к которому не привязана учетная запись PayPal. Более того, заголовки писем показывают, что электронные письма подлинны, проходят проверку безопасности электронной почты DKIM и отправляются непосредственно с почтового сервера PayPal, как показано ниже.
Сначала было непонятно, как PayPal посылает эти законные электронные письма, пока мы не заметили этот текст в нижней части письма.
"Если вы хотите привязать свою кредитную карту к этому адресу или сделать его своим основным адресом, войдите в свой аккаунт PayPal и перейдите в свой профиль", - говорится в сообщении PayPal по электронной почте.
Дальнейшие исследования показали, что «подарочные адреса» — это дополнительные адреса, которые можно добавить в свой профиль PayPal. Во время проверки BleepingComputer добавил новый адрес в одну из наших учетных записей и вставил поддельное сообщение мошенника о подтверждении покупки MacBook в поле «Адрес 2».
После сохранения адреса PayPal направил такое же подтверждающее электронное письмо, сообщая нам о добавлении нами нового адреса, который также включал поддельное сообщение о покупке. При дальнейшем анализе заголовков письма мы видим, что письмо действительно посылается по адресу «noreply_@usaea.institute», который является адресом электронной почты, связанным с PayPal мошенника. Заголовки также показывают, что этот адрес электронной почты автоматически пересылает электронные письма, получаемые на «bill_complete1@zodu.onmicrosoft.com», учетную запись, связанную с клиентом Microsoft 365. Эта учетная запись, скорее всего, является списком рассылки, который автоматически пересылает все полученные. Когда они добавляют мошеннический адрес в PayPal, платежная платформа отправляет подтверждение на адрес электронной почты злоумышленника, который затем пересылает его на аккаунт Microsoft 365, который затем пересылает его всем в списке рассылки.
Подписывайтесь на нашу Telegram-канал, чтобы не пропустить важные новости. Подписаться на канал в Viber можно здесь.
Сейчас читают на Информаторе
