Шахраї маскуються під службу підтримки PayPal для крадіжки даних: як захиститися
Шахрай спробує залякати вас, змусивши подумати, що ваш обліковий запис був зламаний, і переконати вас завантажити та запустити програмне забезпечення, щоб він міг допомогти вам відновити доступ до облікового запису і заблокувати передбачувану транзакцію
Шахраї розсилають фальшиві листи від PayPal, аби обманом заволодіти особистими даними користувачів, повідомляє BleepingComputer. Розповідаємо подробиці.
За останній місяць BleepingComputer та інші отримали електронні листи від PayPal, в яких говорилося: «Ви додали нову адресу. Це просто швидке підтвердження того, що ви додали адресу до свого облікового запису PayPal». У листі вказана нова адреса, яка нібито була додана до вашого облікового запису PayPal, а також повідомлення, що видається за підтвердження покупки MacBook M4, і прохання зателефонувати за вказаним номером PayPal, якщо ви не авторизували покупку.
«Підтвердження: Ваша адреса доставки MacBook M4 Max 1 ТБ ($1098.95) була змінена. Якщо ви не дозволяли це оновлення, зв'яжіться з PayPal за телефоном +1-888-668-2508», - йдеться у шахрайському листі.
Листи надсилаються PayPal безпосередньо з адреси «service@paypal.com», що викликає у людей побоювання, що їхній обліковий запис був зламаний. Однак ті, хто отримав цей лист, підтвердили, що жодних нових адрес насправді не було додано до їхніх облікових записів. У нашому випадку шахрайський лист надіслано на адресу електронної пошти без облікового запису PayPal. Більше того, оскільки ці листи є легітимними листами PayPal, вони обходять фільтри безпеки та спаму. У наступному розділі ми пояснимо, як шахраї надсилають ці листи. Мета цих листів - змусити одержувачів повірити, що їхній обліковий запис був зламаний з метою покупки MacBook, і налякати одержувача, щоб він зателефонував за номером «служби підтримки PayPal» шахрая.
При дзвінку на номер автоматично відтворюється запис, що повідомляє, що ви зателефонували до служби підтримки клієнтів PayPal і що вам слід зачекати, поки не звільниться співробітник служби підтримки. Потім дзвінок спробує з'єднати вас із співробітником служби підтримки клієнтів. Цей шахрай спробує залякати вас, змусивши подумати, що ваш обліковий запис був зламаний, і переконати вас завантажити та запустити програмне забезпечення, щоб він міг «допомогти» вам відновити доступ до облікового запису і заблокувати передбачувану транзакцію. Шахрай направить вас на сайт типу pplassist[.]com та введе код сервісу, наданий фальшивим співробітником PayPal. Введення цього коду завантажить клієнт ConnectWise ScreenConnect [VirusTotal] з lokermy.numaduliton[.]icu або інших сайтів, який шахрай попросить вас запустити.
На цьому варто припинити спілкування із шахраєм і не починати запускати програму на своїх пристроях. Однак у попередніх шахрайських схемах, подібних до цієї, як тільки зловмисник отримував доступ до комп'ютера, він намагався вкрасти гроші з банківських рахунків, впровадити шкідливе ПЗ або вкрасти дані з комп'ютера. Тому, якщо ви отримали законний електронний лист від PayPal, в якому говориться, що ви оновили свою адресу, і в ньому міститься підроблене підтвердження покупки, просто проігноруйте його та не дзвоніть за вказаним номером телефону, оскільки він належить шахраю. Натомість, щоб убезпечити себе, увійдіть до свого облікового запису PayPal і переконайтеся, що не було додано жодних додаткових адрес, а якщо ні, видаліть цей лист.
Як працює шахрайство PayPal
Коли BleepingComputer вперше отримав цей лист, ми були збентежені, оскільки лист був відправлений з адреси service@paypal.com на адресу електронної пошти, до якої не прив'язаний обліковий запис PayPal. Більше того, заголовки листів показують, що електронні листи є справжніми, проходять перевірку безпеки електронної пошти DKIM та надсилаються безпосередньо з поштового сервера PayPal, як показано нижче.
Спочатку було незрозуміло, як PayPal надсилає ці законні електронні листи, доки ми не помітили цей текст у нижній частині листа.
"Якщо ви хочете прив'язати свою кредитну картку до цієї адреси або зробити її своєю основною адресою, увійдіть до свого облікового запису PayPal і перейдіть у свій профіль", - йдеться в повідомленні PayPal електронною поштою.
Подальші дослідження показали, що «подарункові адреси» — це додаткові адреси, які ви можете додати у свій профіль PayPal. Під час перевірки BleepingComputer додав нову адресу до одного з наших облікових записів і вставив підроблене повідомлення шахрая про підтвердження покупки MacBook у полі «Адреса 2».
Після збереження адреси PayPal надіслав такий самий підтверджуючий електронний лист, повідомляючи нас про додавання нами нової адреси, яка також включала підроблене повідомлення про покупку. При подальшому аналізі заголовків листа ми бачимо, що лист насправді надсилається на адресу «noreply_@usaea.institute», яка є адресою електронної пошти, пов'язаною з PayPal шахрая. Заголовки також показують, що ця адреса електронної пошти автоматично пересилає електронні листи, що отримуються на «bill_complete1@zodu.onmicrosoft.com», обліковий запис, пов'язаний з клієнтом Microsoft 365.Цей обліковий запис, швидше за все, є списком розсилки, який автоматично пересилає всі отримані ним листи решті членів групи. Коли вони додають шахрайську адресу в PayPal, платіжна платформа відправляє підтвердження на адресу електронної пошти зловмисника, який потім пересилає його на обліковий запис Microsoft 365, який потім пересилає його всім у списку розсилки.
Підписуйтесь на наш Telegram-канал, щоб не пропустити важливих новин. Підписатися на канал у Viber можна тут.
Зараз читають на Інформаторі
ЧИТАЙТЕ ТАКОЖ:
- Апостиль: скільки коштує, як поставити на документи
- Потяг не приїхав чи запізнився: як повернути гроші за квитки
- В лікарні вимагають гроші за рентген чи томографію - в МОЗ сказали, що з цим робити
- Щоб не заблокували картку: ПриватБанк дав пораду волонтерам та тим, хто отримує допомогу на власний рахунок
