Uwaga na sprytne oszustwo “na Paypala”. E-mail przychodzi z prawidłowej domeny @paypal.com…

Michał podesłał nam ciekawy przypadek scamu, na który względnie łatwo się nabrać, jednak wprawne oko zauważy działanie cyberzbója :-)

Rys. 1. Zrzut ekranu z korespondencji od prawidłowego adresu PayPal

Przychodzi mail z prawidłowego adresu service@paypal.com, który jest używany m.in. do wystawiania faktur. Jednak w polu “Seller note to Customer” czyli notatce dla kontrahenta, można wpisać dowolną informację, np. przedstawiając się jako sam serwis PayPal. Tak jest w tym przypadku, gdzie kampania phishingowa sugeruje, że nastąpiło włamanie do konta i konieczny jest kontakt z fałszywym numerem +1 (877) 790-5453 w celu anulacji / refundacji. W przypadku braku reakcji nastąpi automatyczne obciążenie po dobie. 

Rys. 2. Informacja od “sprzedawcy” sugerująca wiadomość od serwisu PayPal.

Haczyk polega na tym, że jak ktoś nie zauważy, że jest to informacja od fałszywego kontrahenta, a nie od serwisu PayPal to może się na to nabrać i z nerwów zrealizować “legalną płatność” (w tym przypadku: 4x po $200 karty Google Play Cards) lub zadzwonić na w/w. numer telefonu i narazić się na koszty związane z połączeniem lub paść ofiarą vishingu rozszerzającego cały wektor ataku.

Rys. 3. Mechanizm “Żądania płatności” umożliwiający wystawienie dokumentu dla dowolnego użytkownika systemu PayPal.

W odseparowanym środowisku piaskownicy (ang. sandbox) postanowiliśmy sprawdzić i kliknąć link, jednak zgodnie z przewidywaniami faktura “INV2-SYRH-P8JR-BTES-VNFE” została już zablokowana przez administratorów PayPal, którzy stosunkowo szybko reagują na incydenty.

Rys. 4. Brak dostępności do płatności za faktury

Naszym Czytelnikom zalecamy zapoznanie się z dokumentem prewencyjnym od samego PayPala, a w przypadku gdyby otrzymali takiego maila – zgłoszenie tego faktu poprzez Help Center.

PS
Jeśli jeszcze nie zapisałeś się na nasze wrześniowe, bezpłatne szkolenie z cyberbezpieczeństwa dla wszystkich – tutaj można nadrobić zaległości :-)

~tt