Користувачі та дослідники звернули увагу на шахрайську кампанію, пов’язану з PayPal. Зловмисники надсилають користувачам повідомлення про фальшиві покупки з адреси service@paypal[.]com, обманом змушуючи їх надати віддалений доступ до своїх акаунтів.

Цього місяця журналісти видання Bleeping Computer і багато користувачів Reddit отримали дивні листи від PayPal, у яких йшлося: “Ви додали нову адресу. Це просто швидке підтвердження того, що ви додали адресу у свій акаунт PayPal”.

У листах вказували нову поштову адресу, нібито додану до акаунту PayPal жертви, і повідомляли, що лист є підтвердженням купівлі MacBook M4. Жертвам пропонувалося зателефонувати в службу підтримки PayPal за номером, зазначеним у листі, якщо вони не санкціонували цю покупку.

Журналісти з’ясували, що під час дзвінка на вказаний номер автоматично програється запис, у якому повідомляється, що користувач зателефонував у службу підтримки PayPal. Жертву просять почекати, поки звільниться співробітник, а потім їй відповідає шахрай. Фальшивий співробітник підтримки прагне налякати користувача і стверджує, що акаунт зламаний. Жертву переконують завантажити і запустити спеціальне ПЗ, нібито необхідне для відновлення доступу до облікового запису і блокування несанкціонованої покупки.

Для цього зловмисники направляють користувачів на сайт на кшталт pplassist[.]com, де потрібно ввести спеціальний код, наданий фальшивим співробітником підтримки. Після відбувається завантаження клієнта ConnectWise ScreenConnect із сайту lokermy.numaduliton[.]icu або з інших ресурсів.

Розібратися в тому, що відбувається, допоміг текст, доданий у кінець листа. Він свідчив: “Якщо ви хочете прив’язати свою кредитну картку до цієї адреси або зробити її основною, увійдіть у свій обліковий запис PayPal і перейдіть у свій профіль. Оскільки це адреса для подарунків, ви можете відправляти на неї посилки одним кліком миші”.

Як з’ясувалося, адреси для подарунків (gift address) – це просто додаткові адреси, які користувач може додати у свій профіль PayPal.

Журналісти Bleeping Computer протестували цю функцію і переконалися, що саме так шахраї створюють свої листи. Додавши нову «подарункову адресу» до одного зі своїх акаунтів, дослідники скопіювали в полі Address 2 шахрайське повідомлення про підтвердження покупки MacBook.

Дослідники зазначають, що вся ця схема працює лише тому, що PayPal не обмежує кількість символів у полях форм адреси, що дає змогу шахраям впроваджувати туди свої послання. Тобто для виправлення ситуації PayPal достатньо обмежити кількість символів у цьому полі.

Представники компанії поки що не коментували ситуацію.