Funcionalidade "Novo Endereço" do PayPal está sendo explorada para envio de e-mails de phishing
- Cyber Security Brazil
- 24 de fev.
- 4 min de leitura
Um golpe de e-mail envolvendo o PayPal está em andamento e explora a configuração de endereços na plataforma para enviar notificações falsas de compras, enganando os usuários e induzindo-os a conceder acesso remoto aos golpistas.
Nos últimos meses, usuários têm recebido e-mails do PayPal com a mensagem: "Você adicionou um novo endereço. Esta é apenas uma rápida confirmação de que um endereço foi adicionado à sua conta do PayPal."
O e-mail inclui o suposto novo endereço adicionado à conta e traz uma mensagem alegando ser a confirmação de uma compra de um MacBook M4, além de um número de telefone do PayPal para contato caso a compra não tenha sido autorizada.
"Confirmação: Seu endereço de entrega para o MacBook M4 Max 1 TB ($1098,95) foi alterado. Se você não autorizou essa atualização, entre em contato com o PayPal pelo número +1-888-668-2508."
Os e-mails estão sendo enviados diretamente pelo PayPal a partir do endereço oficial service@paypal.com, o que gera preocupação nos usuários, que acreditam que suas contas tenham sido invadidas.
No entanto, aqueles que receberam essa mensagem confirmaram que nenhum novo endereço foi adicionado às suas contas. Além disso, em alguns casos, os e-mails foram enviados para endereços que nem sequer possuem uma conta no PayPal.
Como os e-mails são legítimos e vêm diretamente dos servidores do PayPal, eles conseguem burlar filtros de segurança e de spam, tornando o golpe ainda mais perigoso.
O objetivo do golpe
O propósito desses e-mails é enganar as vítimas, fazendo-as acreditar que sua conta foi comprometida para realizar a compra de um MacBook, criando um senso de urgência para que liguem para o suposto suporte do PayPal.
Ao ligar para o número fornecido, uma gravação automática informa que o usuário entrou em contato com o suporte do PayPal e pede que aguarde um atendente. O golpista, então, finge ser um representante da empresa e tenta assustar a vítima, dizendo que sua conta foi invadida.
Ele então pede para a vítima baixar e executar um software que supostamente ajudará a recuperar o acesso à conta e impedir a transação fraudulenta. Para isso, o invasor direciona o usuário a acessar um site como pplassist[.]com e inserir um código de serviço fornecido pelo falso funcionário do PayPal.
Ao inserir o código, a vítima faz o download de um programa malicioso chamado ConnectWise ScreenConnect client, hospedado em domínios suspeitos como lokermy.numaduliton[.]icu. O golpista então solicita que a vítima execute o programa, permitindo que ele tenha acesso remoto ao computador.
Felizmente, durante a investigação do golpe, as ligações não eram completadas antes da execução do software. No entanto, em fraudes semelhantes, hackers que obtêm acesso remoto a um computador costumam roubar dinheiro de contas bancárias, instalar malware ou até mesmo exfiltrar dados sensíveis da vítima.
Caso receba um e-mail legítimo do PayPal informando que seu endereço foi atualizado e contendo uma suposta confirmação de compra, a melhor atitude é ignorá-lo e não entrar em contato com o número fornecido.
Para garantir a segurança, acesse sua conta no PayPal manualmente e verifique se algum endereço desconhecido foi adicionado. Se não houver alterações, simplesmente exclua o e-mail.
Como o golpe funciona
Inicialmente, houve confusão sobre como esses e-mails estavam sendo enviados a partir do domínio oficial service@paypal.com, inclusive para endereços de e-mail sem uma conta PayPal associada.
Após uma análise detalhada dos cabeçalhos do e-mail, verificou-se que as mensagens estavam passando pelas verificações de segurança de e-mail do PayPal, como DKIM, e eram enviadas diretamente dos servidores da empresa.
A explicação para isso foi encontrada em um trecho do próprio e-mail:
"Se deseja vincular seu cartão de crédito a este endereço ou torná-lo seu endereço principal, faça login em sua conta do PayPal e acesse seu perfil.""Como este endereço é um endereço de presente, você pode enviar pacotes para ele com apenas um clique."
Os "endereços de presente" são simplesmente endereços adicionais que podem ser adicionados ao perfil do PayPal.
Os pesquisadores fizeram um teste e adicionaram um novo endereço a uma conta PayPal, copiando e colando a mensagem falsa de confirmação de compra no campo Endereço 2.
Depois de salvar as alterações, o PayPal enviou um e-mail legítimo de confirmação, incluindo a mensagem de golpe dentro do conteúdo da notificação.
Isso mostrou como os hackers estavam gerando os e-mails de phishing diretamente pelos servidores do PayPal. No entanto, ainda restava a dúvida sobre como os golpistas estavam conseguindo fazer com que esses e-mails fossem enviados para suas vítimas.
Analisando os cabeçalhos da mensagem, foi descoberto que o e-mail estava sendo enviado para o endereço noreply_@usaea.institute, que pertencia ao hacker. Esse endereço, por sua vez, estava programado para encaminhar automaticamente os e-mails recebidos para outra conta bill_complete1@zodu.onmicrosoft.com, associada a um inquilino do Microsoft 365.
Essa conta parece ser uma lista de e-mails, que redireciona automaticamente todas as mensagens recebidas para outros membros do grupo – no caso, as vítimas do golpe.
Dessa forma, quando os hackers adicionam o endereço fraudulento ao PayPal, a plataforma envia automaticamente um e-mail de confirmação, que é então distribuído para uma lista de alvos do ataque.
Esse golpe só é possível porque o PayPal não impõe restrições ao número de caracteres nos campos de endereço, permitindo que os hackers injetem suas mensagens fraudulentas.
Para evitar esse tipo de ataque no futuro, o PayPal precisaria limitar o número de caracteres nesses campos, reduzindo a capacidade dos hackers de abusar dessa funcionalidade para disseminar golpes.
Via - BC
Comments