Μια απάτη μέσω email κάνει κατάχρηση της δυνατότητας χρέωσης “Συνδρομές” του PayPal για την αποστολή νόμιμων email PayPal που περιέχουν πλαστές ειδοποιήσεις αγοράς ενσωματωμένες στο πεδίο URL εξυπηρέτησης πελατών.
Τους τελευταίους δύο μήνες, οι άνθρωποι έχουν αναφέρει [1, 2] λήψη email από το PayPal που δηλώνουν, “Η αυτόματη πληρωμή σας δεν είναι πλέον ενεργή”.
Το μήνυμα ηλεκτρονικού ταχυδρομείου περιλαμβάνει ένα πεδίο διεύθυνσης URL εξυπηρέτησης πελατών που τροποποιήθηκε κατά κάποιο τρόπο ώστε να περιλαμβάνει ένα μήνυμα που δηλώνει ότι αγοράσατε ένα ακριβό αντικείμενο, όπως μια συσκευή Sony, MacBook ή iPhone.
Αυτό το κείμενο περιλαμβάνει ένα όνομα τομέα, ένα μήνυμα που δηλώνει ότι διεκπεραιώθηκε μια πληρωμή 1.300 $ έως 1.600 $ (το ποσό ποικίλλει μέσω email) και έναν αριθμό τηλεφώνου για ακύρωση ή αμφισβήτηση της πληρωμής. Το κείμενο είναι γεμάτο με χαρακτήρες Unicode που κάνουν τα τμήματα να φαίνονται έντονα ή με ασυνήθιστη γραμματοσειρά, μια τακτική που χρησιμοποιείται για να προσπαθήσουμε να αποφύγουμε τα φίλτρα ανεπιθύμητης αλληλογραφίας και τον εντοπισμό λέξεων-κλειδιών.
“http://[domain] [domain] Η πληρωμή 1346,99 $ διεκπεραιώθηκε με επιτυχία. Για ακύρωση και απορίες, επικοινωνήστε με την υποστήριξη του PayPal στο +1-805-500-6377», αναφέρεται στη διεύθυνση URL εξυπηρέτησης πελατών στο μήνυμα ηλεκτρονικού ταχυδρομείου απάτης.
Πηγή: BleepingComputer
Αν και πρόκειται ξεκάθαρα για απάτη, τα μηνύματα ηλεκτρονικού ταχυδρομείου αποστέλλονται απευθείας από το PayPal από τη διεύθυνση “[email protected]”, με αποτέλεσμα οι άνθρωποι να ανησυχούν ότι οι λογαριασμοί τους μπορεί να έχουν παραβιαστεί.
Επιπλέον, καθώς τα email είναι νόμιμα email PayPal, παρακάμπτουν τα φίλτρα ασφάλειας και ανεπιθύμητης αλληλογραφίας. Στην επόμενη ενότητα, θα εξηγήσουμε πώς οι απατεώνες στέλνουν αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου.
Ο στόχος αυτών των μηνυμάτων ηλεκτρονικού ταχυδρομείου είναι να ξεγελάσουν τους παραλήπτες ώστε να πιστέψουν ότι ο λογαριασμός τους αγόρασε μια ακριβή συσκευή και να τους τρομάξουν να καλέσουν τον αριθμό τηλεφώνου του απατεώνα “Υποστήριξη PayPal”.
Τέτοια μηνύματα ηλεκτρονικού ταχυδρομείου έχουν χρησιμοποιηθεί ιστορικά για να πείσουν τους παραλήπτες να καλέσουν έναν αριθμό για να διαπράξουν τραπεζική απάτη ή να τους εξαπατήσουν ώστε να εγκαταστήσουν κακόβουλο λογισμικό στους υπολογιστές τους.
Επομένως, εάν λάβετε ένα νόμιμο email από το PayPal που αναφέρει ότι η αυτόματη πληρωμή σας δεν είναι πλέον ενεργή και περιέχει μια ψεύτικη επιβεβαίωση αγοράς, αγνοήστε το email και μην καλέσετε τον αριθμό.
Εάν ανησυχείτε ότι ο λογαριασμός σας στο PayPal παραβιάστηκε, συνδεθείτε στον λογαριασμό σας και επιβεβαιώστε ότι δεν υπήρξε χρέωση.
Πώς λειτουργεί η απάτη του PayPal
Το BleepingComputer εστάλη ένα αντίγραφο του email από κάποιον που το έλαβε και του φάνηκε περίεργο το γεγονός ότι η απάτη προήλθε από τη νόμιμη διεύθυνση ηλεκτρονικού ταχυδρομείου “[email protected]”.
Επιπλέον, οι κεφαλίδες email υποδεικνύουν ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου είναι νόμιμα, περνούν από ελέγχους ασφαλείας email DKIM και SPF και προέρχονται απευθείας από τον διακομιστή αλληλογραφίας “mx15.slc.paypal.com” του PayPal, όπως φαίνεται παρακάτω.
ARC-Authentication-Results: i=1; mx.google.com;
dkim=pass [email protected] header.s=pp-dkim1 header.b="AvY/E1H+";
spf=pass (google.com: domain of [email protected] designates 173.0.84.4 as permitted sender) [email protected];
dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=paypal.com
Received: from mx15.slc.paypal.com (mx15.slc.paypal.com. [173.0.84.4])
by mx.google.com with ESMTPS id a92af1059eb24-11dcb045a3csi5930706c88.202.2025.11.28.09.14.49
for
(version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
Fri, 28 Nov 2025 09:14:49 -0800 (PST)Αφού δοκίμασε διάφορες λειτουργίες χρέωσης PayPal, το BleepingComputer μπόρεσε να αναπαράγει το ίδιο πρότυπο email χρησιμοποιώντας τη δυνατότητα “Συνδρομές” του PayPal και θέτοντας σε παύση έναν συνδρομητή.
Οι συνδρομές PayPal είναι μια λειτουργία χρέωσης που επιτρέπει στους εμπόρους να δημιουργούν επιλογές ολοκλήρωσης αγοράς συνδρομής για να εγγραφούν σε μια υπηρεσία για ένα συγκεκριμένο ποσό.
Όταν ένας έμπορος διακόπτει τη συνδρομή ενός συνδρομητή, το PayPal θα στείλει αυτόματα email στον συνδρομητή για να τον ειδοποιήσει ότι η αυτόματη πληρωμή του δεν είναι πλέον ενεργή.
Ωστόσο, όταν το BleepingComputer προσπάθησε να αναπαράγει την απάτη προσθέτοντας κείμενο διαφορετικό από μια διεύθυνση URL στη διεύθυνση URL εξυπηρέτησης πελατών, το PayPal θα απέρριπτε την αλλαγή καθώς επιτρέπεται μόνο μια διεύθυνση URL.
Επομένως, φαίνεται ότι οι απατεώνες είτε εκμεταλλεύονται ένα ελάττωμα στον χειρισμό των μεταδεδομένων της συνδρομής από το PayPal είτε χρησιμοποιούν μια μέθοδο, όπως ένα API ή μια πλατφόρμα παλαιού τύπου που δεν είναι διαθέσιμη σε όλες τις περιοχές, που επιτρέπει την αποθήκευση μη έγκυρου κειμένου στο πεδίο URL εξυπηρέτησης πελατών.
Τώρα που γνωρίζουμε πώς δημιουργούν το μήνυμα ηλεκτρονικού ταχυδρομείου από το PayPal, δεν είναι ακόμα σαφές πώς αποστέλλεται σε άτομα που δεν έχουν εγγραφεί για τη συνδρομή στο PayPal.
Οι κεφαλίδες αλληλογραφίας δείχνουν ότι το PayPal στέλνει στην πραγματικότητα το email στη διεύθυνση “[email protected]”, η οποία πιστεύουμε ότι είναι η διεύθυνση ηλεκτρονικού ταχυδρομείου που σχετίζεται με έναν ψεύτικο συνδρομητή που δημιουργήθηκε από τον απατεώνα.
Αυτός ο λογαριασμός είναι πιθανώς μια λίστα αλληλογραφίας του Google Workspace, η οποία προωθεί αυτόματα οποιοδήποτε email λαμβάνει σε όλα τα άλλα μέλη της ομάδας. Σε αυτήν την περίπτωση, τα μέλη είναι τα άτομα που στοχεύει ο απατεώνας.
Αυτή η προώθηση μπορεί να προκαλέσει την αποτυχία όλων των επόμενων ελέγχων SPF και DMARC, καθώς το email προωθήθηκε από διακομιστή που δεν ήταν ο αρχικός αποστολέας.
Όταν η BleepingComputer επικοινώνησε με την PayPal για να ρωτήσει εάν επιδιορθώθηκε αυτό το πρόβλημα, αρνήθηκαν να σχολιάσουν και αντ’ αυτού κοινοποίησαν την ακόλουθη δήλωση.
«Το PayPal δεν ανέχεται δόλιες δραστηριότητες και εργαζόμαστε σκληρά για να προστατεύσουμε τους πελάτες μας από τακτικές απάτης που εξελίσσονται συνεχώς», είπε η PayPal στο BleepingComputer.
“Γνωρίζουμε αυτήν την απάτη ηλεκτρονικού “ψαρέματος” και ενθαρρύνουμε τους ανθρώπους να είναι πάντα σε επαγρύπνηση στο διαδίκτυο και να προσέχουν τα απροσδόκητα μηνύματα. Εάν οι πελάτες υποψιάζονται ότι αποτελούν στόχο απάτης, συνιστούμε να επικοινωνήσουν με την Υποστήριξη πελατών απευθείας μέσω της εφαρμογής PayPal ή της σελίδας Επικοινωνίας μας για βοήθεια.”
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
