vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💎
Мошенники начали злоупотреблять функцией «Подписки» в системе PayPal для рассылки легитимных писем от имени системы с поддельными уведомлениями о покупках.
За последние несколько месяцев пользователи сообщали о получении писем от имени PayPal с сообщением: «Ваш автоматический платёж больше не активен». В нём содержится модифицированное поле URL-адреса службы поддержки клиентов с сообщением о том, что человек приобрёл дорогостоящий товар, например, устройство Sony, MacBook или iPhone. Текст включает доменное имя, сообщение о том, что был обработан платёж в размере от $1300 до $1600, и номер телефона для отмены или оспаривания платежа. Текст заполнен символами Unicode, из-за чего некоторые его части отображаются жирным или необычным шрифтом.
«http://[domain] [domain] Платеж в размере 1346,99 долларов США успешно обработан. Для отмены и получения дополнительной информации обратитесь в службу поддержки PayPal по телефону +1-805-500-6377», — гласит URL-адрес службы поддержки в мошенническом электронном письме.
Хотя это явно мошенничество, электронные письма отправляются напрямую PayPal с адреса «[email protected]», что заставляет пользователей обеспокоиться возможным взломом своих учётных записей. Более того, поскольку эти письма являются подлинными, они обходят фильтры безопасности и спама. Если человек всё же позвонит по номеру телефона «службы поддержки PayPal» мошенника, то подвергнется фишингу. Так, его могут обманом заставить установить вредоносное ПО.
В BleepingComputer получили копию такого электронного письма. Заголовки сообщения указывают на то, что письма являются подлинными, проходят проверку безопасности DKIM и SPF и исходят непосредственно с почтового сервера PayPal «mx15.slc.paypal.com». После тестирования различных функций выставления счетов PayPal в редакции смогли воспроизвести тот же шаблон письма, используя функцию «Подписки» и приостановив реальную подписку человека.
Подписки PayPal — это функция выставления счетов, которая позволяет продавцам создавать варианты оплаты на определённую сумму. Когда продавец приостанавливает подписку, PayPal автоматически отправляет подписчику электронное письмо с уведомлением об этом.
Однако, когда в BleepingComputer попытались воспроизвести мошенничество, добавив в поле «URL-адрес службы поддержки» текст, отличный от него, в PayPal отклонили изменение.
Таким образом, похоже, что мошенники либо используют уязвимость в обработке метаданных подписки PayPal, либо другой метод, например, API или устаревшую платформу, недоступную во всех регионах, который позволяет хранить недопустимый текст в поле URL-адреса.
Заголовки письма показывают, что PayPal фактически отправляет письмо на адрес «[email protected]», который может быть связан с поддельным подписчиком. Эта учётная запись, вероятно, является списком рассылки Google Workspace, который автоматически переадресует все полученные письма остальным участникам группы — тем, на кого нацелен мошенник. Это позволяет обходить проверки SPF и DMARC, поскольку электронное письмо пересылается сервером.
В январе исследователь рассказал, что он обнаружил необычное мошенническое письмо, которое обошло спам-фильтр Gmail и имитировало счёт PayPal. Авторы кампании отправляли себе счёт PayPal, а затем создавали электронное письмо, чтобы переслать его, используя полученный текст. Им пришлось оставить тело письма неизмененным, чтобы оно включало заголовки, подписанные PayPal.
Позднее выяснилось, что хакеры использовали уязвимость, которая позволяла им отправлять поддельное электронное письмо якобы от систем Google, проходя все проверки компании. Мошенническое сообщение приходило с «[email protected]» и проходило метод аутентификации DomainKeys Identified Mail (DKIM).
Источник
За последние несколько месяцев пользователи сообщали о получении писем от имени PayPal с сообщением: «Ваш автоматический платёж больше не активен». В нём содержится модифицированное поле URL-адреса службы поддержки клиентов с сообщением о том, что человек приобрёл дорогостоящий товар, например, устройство Sony, MacBook или iPhone. Текст включает доменное имя, сообщение о том, что был обработан платёж в размере от $1300 до $1600, и номер телефона для отмены или оспаривания платежа. Текст заполнен символами Unicode, из-за чего некоторые его части отображаются жирным или необычным шрифтом.
«http://[domain] [domain] Платеж в размере 1346,99 долларов США успешно обработан. Для отмены и получения дополнительной информации обратитесь в службу поддержки PayPal по телефону +1-805-500-6377», — гласит URL-адрес службы поддержки в мошенническом электронном письме.
Хотя это явно мошенничество, электронные письма отправляются напрямую PayPal с адреса «[email protected]», что заставляет пользователей обеспокоиться возможным взломом своих учётных записей. Более того, поскольку эти письма являются подлинными, они обходят фильтры безопасности и спама. Если человек всё же позвонит по номеру телефона «службы поддержки PayPal» мошенника, то подвергнется фишингу. Так, его могут обманом заставить установить вредоносное ПО.
В BleepingComputer получили копию такого электронного письма. Заголовки сообщения указывают на то, что письма являются подлинными, проходят проверку безопасности DKIM и SPF и исходят непосредственно с почтового сервера PayPal «mx15.slc.paypal.com». После тестирования различных функций выставления счетов PayPal в редакции смогли воспроизвести тот же шаблон письма, используя функцию «Подписки» и приостановив реальную подписку человека.
Подписки PayPal — это функция выставления счетов, которая позволяет продавцам создавать варианты оплаты на определённую сумму. Когда продавец приостанавливает подписку, PayPal автоматически отправляет подписчику электронное письмо с уведомлением об этом.
Однако, когда в BleepingComputer попытались воспроизвести мошенничество, добавив в поле «URL-адрес службы поддержки» текст, отличный от него, в PayPal отклонили изменение.
Таким образом, похоже, что мошенники либо используют уязвимость в обработке метаданных подписки PayPal, либо другой метод, например, API или устаревшую платформу, недоступную во всех регионах, который позволяет хранить недопустимый текст в поле URL-адреса.
Заголовки письма показывают, что PayPal фактически отправляет письмо на адрес «[email protected]», который может быть связан с поддельным подписчиком. Эта учётная запись, вероятно, является списком рассылки Google Workspace, который автоматически переадресует все полученные письма остальным участникам группы — тем, на кого нацелен мошенник. Это позволяет обходить проверки SPF и DMARC, поскольку электронное письмо пересылается сервером.
В PayPal сообщили, что принимают меры по борьбе с методом рассылки таких писем. Затронутым пользователям рекомендуют обратиться в службу поддержки клиентов напрямую через приложение PayPal или через страницу «Контакты».
В январе исследователь рассказал, что он обнаружил необычное мошенническое письмо, которое обошло спам-фильтр Gmail и имитировало счёт PayPal. Авторы кампании отправляли себе счёт PayPal, а затем создавали электронное письмо, чтобы переслать его, используя полученный текст. Им пришлось оставить тело письма неизмененным, чтобы оно включало заголовки, подписанные PayPal.
Позднее выяснилось, что хакеры использовали уязвимость, которая позволяла им отправлять поддельное электронное письмо якобы от систем Google, проходя все проверки компании. Мошенническое сообщение приходило с «[email protected]» и проходило метод аутентификации DomainKeys Identified Mail (DKIM).
Источник
