Внимание: Претплатите на PayPal се злоупотребуваат за испраќање лажни е-пораки за купување

Е-пошта измама ја злоупотребува функцијата за наплата „Subscriptions“ на PayPal за да испраќа легитимни PayPal е-пораки кои содржат лажни известувања за купување, вметнати во полето за URL за корисничка поддршка.

Во изминатите неколку месеци, луѓе пријавија дека добиваат е-пораки од PayPal со содржина: „Вашата автоматска уплата повеќе не е активна.“

Е-поштата содржи поле за URL за корисничка поддршка кое на некој начин било изменето за да вклучи порака дека сте купиле скап производ, како што се Sony уред, MacBook или iPhone. Овој текст вклучува име на домен, порака дека е обработена уплата од 1.300 до 1.600 американски долари (износот варира во зависност од пораката) и телефонски број за откажување или оспорување на уплатата. Текстот е исполнет со Unicode знаци кои прават делови да изгледаат болдирано или со необичен фонт – тактика што се користи за заобиколување на спам филтри и откривање клучни зборови.

„http://[домен] [домен] Уплата од 1346,99 американски долари е успешно обработена. За откажување и прашања, контактирајте ја PayPal поддршката на +1-805-500-6377“, стои во URL-то за корисничка поддршка во измамничката е-пошта.

Иако ова очигледно е измама, е-пораките се испраќаат директно од PayPal од адресата „service@paypal.com“, што ги наведува луѓето да се загрижат дека нивните сметки можеби се хакирани.

Понатаму, бидејќи е-пораките се легитимни PayPal е-пораки, тие ги заобиколуваат безбедносните и спам-филтрите. Во следниот дел ќе објасниме како измамниците ги испраќаат овие е-пораки.

Целта на овие е-пораки е да ги измамат примателите да поверуваат дека нивната сметка купила скап уред и да ги исплашат да се јават на телефонскиот број на лажната „PayPal поддршка“ на измамниците.

Вакви е-пораки историски се користеле за да ги убедат примателите да се јават на одреден број со цел да се изврши банкарска измама или да ги измамат да инсталираат малициозен софтвер на нивните компјутери.

Затоа, доколку добиете легитимна е-порака од PayPal во која се наведува дека вашата автоматска уплата повеќе не е активна, а истовремено содржи лажна потврда за купување, игнорирајте ја пораката и не јавувајте се на бројот.

Доколку сте загрижени дека вашата PayPal сметка е компромитирана, најавете се на вашата сметка и проверете дали навистина нема направена наплата.

Како функционира PayPal измамата

BleepingComputer доби копија од е-поштата од лице кое ја примило и на кое му било чудно што измамата потекнува од легитимната е-пошта „service@paypal.com“.

Понатаму, заглавијата на е-поштата укажуваат дека пораките се легитимни, успешно ги поминуваат DKIM и SPF безбедносните проверки за е-пошта и потекнуваат директно од PayPal-овиот мејл-сервер „mx15.slc.paypal.com“, како што е прикажано подолу.

ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass header.i=@paypal.com header.s=pp-dkim1 header.b="AvY/E1H+";
       spf=pass (google.com: domain of service@paypal.com designates 173.0.84.4 as permitted sender) smtp.mailfrom=service@paypal.com;
       dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=paypal.com
Received: from mx15.slc.paypal.com (mx15.slc.paypal.com. [173.0.84.4])
        by mx.google.com with ESMTPS id a92af1059eb24-11dcb045a3csi5930706c88.202.2025.11.28.09.14.49
        for 
        (version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
        Fri, 28 Nov 2025 09:14:49 -0800 (PST)

По тестирање на различни PayPal функции за наплата, BleepingComputer успеа да го реплицира истиот шаблон на е-пошта користејќи ја PayPal функцијата „Subscriptions“ и со паузирање на претплатник.

PayPal претплатите се функција за наплата што им овозможува на трговците да креираат опции за наплата преку претплата, при што корисниците се претплаќаат на услуга за одреден износ.

Кога трговец ќе ја паузира претплатата на некој претплатник, PayPal автоматски испраќа е-пошта до претплатникот за да го извести дека неговата автоматска уплата повеќе не е активна.

Сепак, кога BleepingComputer се обиде да ја реплицира измамата со додавање текст што не е URL во полето „Customer Service URL“, PayPal ја одбиваше промената, бидејќи е дозволен само URL.

Затоа, изгледа дека измамниците или експлоатираат пропуст во начинот на кој PayPal ги обработува метаподатоците за претплатите, или користат метод — како API или застарена платформа што не е достапна во сите региони — кој дозволува невалиден текст да се зачува во полето „Customer Service URL“.

Сега кога знаеме како е-поштата се генерира од PayPal, сè уште не е јасно како таа се испраќа до луѓе кои никогаш не се пријавиле за PayPal претплата.

Заглавијата на пораката покажуваат дека PayPal всушност ја испраќа е-поштата на адресата „receipt3@bbcpaglomoonlight.studio“, за која се верува дека е е-поштата поврзана со лажен претплатник креиран од измамникот.

Оваа сметка најверојатно е Google Workspace мејлинг-листа, која автоматски ја препраќа секоја е-пошта што ќе ја прими до сите други членови на групата. Во овој случај, членовите се луѓето кои измамникот ги таргетира.

Ова препраќање може да предизвика неуспех на сите последователни SPF и DMARC проверки, бидејќи е-поштата е препратена од сервер кој не е оригиналниот испраќач.

PayPal сега му соопшти на BleepingComputer дека презема мерки за спречување на методот што се користи за испраќање на овие измамнички е-пораки.

„PayPal не толерира измамнички активности и напорно работиме за да ги заштитиме нашите корисници од постојано еволуирачките фишинг измами“, изјавија од PayPal за BleepingComputer.

„Активно го ублажуваме овој проблем и ги охрабруваме луѓето секогаш да бидат внимателни онлајн и да внимаваат на неочекувани пораки. Доколку корисниците се сомневаат дека се цел на измама, препорачуваме директно да контактираат со корисничката поддршка преку PayPal апликацијата или преку нашата страница за контакт за помош.“

Извори:

• Bleeping Computer– Beware: PayPal subscriptions abused to send fake purchase emails Bleeping Computer