/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2F2ab4b275b616463e4f0f14213e5e96ce.jpg)
Фішинг від імені PayPal — хакери використовують справжні e-mail компанії
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2F01bf32466fb30a3f1b2219ec840b7e44.png)
Схоже, використання справжніх серверів компаній стає трендом серед хакерів. Нещодавно ITC.ua писав про Google, зараз «під прицілом» користувачі PayPal.
Як і у випадку з Google, зловмисники маскуються під справжню службу підтримки, щоб заволодіти даними акаунту користувача. При цьому електронні листи від них ідентифікуються як справжні, проходять перевірку DKIM та не потрапляють у спам. Користувачам повідомляють про додавання адрес до облікових записів для здійснення дорогих покупок. Переляканих людей направляють на телефони шахраїв для подальшого спілкування з метою отримати доступ до облікового запису.
За останній місяць користувачі отримали електронні листи від PayPal з таким вмістом: «Ви додали нову адресу. Це лише швидке підтвердження того, що ви додали адресу у свій обліковий запис PayPal». Електронний лист містить нову адресу, яку нібито користувач додав до PayPal, разом з повідомленням, яке нібито є підтвердженням покупки MacBook M4, а також проханням зателефонувати на вказаний номер нібито підтримки PayPal для скасування покупки.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2F8dc49e211bf8a6387147449fb4edbc20)
«Підтвердження: вашу адресу доставлення MacBook M4 Max 1 ТБ ($1098,95) було змінено. Якщо ви не авторизували це оновлення, зв’яжіться з PayPal за номером +1-888-668-2508», — йдеться в електронному листі.
Повідомлення надходять з адреси «[email protected]», і тому викликають у жертви справжнє занепокоєння. Однак ті, хто їх отримує, підтверджують, що насправді до їхніх облікових записів не додавалися нові адреси. Цікаво, що листи надходять й на електронні адреси користувачів, не прив’язані до облікового запису PayPal.
Отже, одержувач вважає, що його обліковий запис зламали, щоб придбати MacBook, і телефонує за вказаним номером у фейкову підтримку PayPal — до шахраїв. У відповідь автоматично відтворюється запис про те, що він зв’язався зі службою підтримки PayPal, і потрібно дочекатися оператора. Людина на тому кінці дроту намагається налякати користувача та переконати завантажити та запустити ПЗ з сайту, яке нібито дасть можливість працівникам компанії відновити доступ до облікового запису та заблокувати транзакцію.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2F618c10823cddbd197d73b0e54574b3ca)
BleepingComputer радить у разі отримання подібного листа просто ігнорувати його та перевірити в акаунті PayPal, чи насправді до нього не доєдналася якась незрозуміла адреса та покупки. Оригінальна публікація описує технічні подробиці здійснення шахрайства. Дослідники пишуть, що їм вдалося зрозуміти, як генеруються подібні листи, і що деякі обмеження з боку PayPal могли б завадити фішингу.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2Fafdcbeaf-f33b-4cc7-ba09-607beea3da83.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F91790b4acec69de04a1316a8739ce70b.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F1%2Fb7721c649ce1ecc0c7f76b63b8fb2ac4.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2F765d65f80599c02664f011ff807fa1ec.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F131%2F9cf547072a1a84d09fc5a6267c60e2ce.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2Fc83ea55534b5e9938641e0be5bf874af.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F15419a76898b9a074af52a64af91e4aa.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F457%2Fac296285ae2eb7b91a474024682514e4.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F649e56e104c055a9c9347aa2fc68a352.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F2873b7984a6ca6b5402a19719f693045.jpg)