El. pašto sukčiavimas piktnaudžiauja „PayPal“ „Prenumeratos“ atsiskaitymo funkcija, kad būtų siunčiami teisėti „PayPal“ el. laiškai, kuriuose pateikiami netikri pirkimo pranešimai, įterpti į klientų aptarnavimo URL lauką.
Per pastaruosius porą mėnesių žmonės pranešė (1, 2) gavę el. laiškus iš PayPal, kuriuose teigiama: „Jūsų automatinis mokėjimas nebeaktyvus“.
El. laiške yra klientų aptarnavimo URL laukas, kuris buvo kažkaip pakeistas, kad būtų įtrauktas pranešimas, nurodantis, kad įsigijote brangią prekę, pvz., „Sony“ įrenginį, „MacBook“ ar „iPhone“.
Šiame tekste yra domeno pavadinimas, pranešimas, nurodantis, kad 1300–1600 USD mokėjimas buvo apdorotas (suma skiriasi priklausomai nuo el. pašto), ir telefono numeris mokėjimui atšaukti arba užginčyti. Tekstas užpildytas unikodo simboliais, dėl kurių dalys atrodo paryškintos arba neįprastu šriftu. Ši taktika naudojama siekiant išvengti šiukšlių filtrų ir raktinių žodžių aptikimo.
„http://(domenas) (domenas) 1346,99 USD mokėjimas buvo sėkmingai apdorotas. Jei norite atšaukti ir pateikti užklausų, susisiekite su „PayPal“ palaikymo komanda telefonu +1-805-500-6377“, – rašoma klientų aptarnavimo URL adresu sukčių el. laiške.
Šaltinis: BleepingComputer
Nors tai akivaizdžiai apgaulė, el. laiškus „PayPal“ siunčia tiesiogiai iš adreso „service@paypal.com“, todėl žmonės nerimauja, kad į jų paskyras galėjo būti įsilaužta.
Be to, kadangi el. laiškai yra teisėti PayPal el. laiškai, jie apeina saugos ir šiukšlių filtrus. Kitame skyriuje paaiškinsime, kaip sukčiai siunčia šiuos el.
Šių el. laiškų tikslas – priversti gavėjus manyti, kad jų paskyra įsigijo brangų įrenginį, ir išgąsdinti, kad jie skambintų sukčiaus „PayPal palaikymo“ telefono numeriu.
Tokie el. laiškai istoriškai buvo naudojami siekiant įtikinti gavėjus paskambinti tam tikru numeriu, kad sukčiautų banke arba apgaulės būdu įdiegtų savo kompiuteriuose kenkėjiškas programas.
Todėl, jei gaunate teisėtą el. laišką iš PayPal, kuriame nurodoma, kad jūsų automatinis mokėjimas nebėra aktyvus, o jame yra netikras pirkimo patvirtinimas, nekreipkite dėmesio į el. laišką ir neskambinkite šiuo numeriu.
Jei nerimaujate, kad jūsų PayPal paskyra buvo pažeista, prisijunkite prie paskyros ir patvirtinkite, kad nebuvo apmokestinta.
Kaip veikia „PayPal“ sukčiai
„BleepingComputer“ buvo išsiųsta el. laiško kopija iš asmens, kuris jį gavo, ir jam pasirodė keista, kad sukčiai kilo iš teisėto „service@paypal.com“ el. pašto adreso.
Be to, el. laiškų antraštės nurodo, kad el. laiškai yra teisėti, praeina DKIM ir SPF el. pašto saugos patikras ir yra tiesiogiai kilę iš PayPal pašto serverio „mx15.slc.paypal.com“, kaip parodyta toliau.
ARC-Authentication-Results: i=1; mx.google.com;
dkim=pass header.i=@paypal.com header.s=pp-dkim1 header.b="AvY/E1H+";
spf=pass (google.com: domain of service@paypal.com designates 173.0.84.4 as permitted sender) smtp.mailfrom=service@paypal.com;
dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=paypal.com
Received: from mx15.slc.paypal.com (mx15.slc.paypal.com. (173.0.84.4))
by mx.google.com with ESMTPS id a92af1059eb24-11dcb045a3csi5930706c88.202.2025.11.28.09.14.49
for
(version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
Fri, 28 Nov 2025 09:14:49 -0800 (PST)
Išbandžiusi įvairias „PayPal“ atsiskaitymo funkcijas, „BleepingComputer“ sugebėjo pakartoti tą patį el. pašto šabloną naudodama „PayPal“ funkciją „Prenumeratos“ ir pristabdžiusi abonentą.
„PayPal“ prenumeratos yra atsiskaitymo funkcija, leidžianti prekybininkams sukurti prenumeratos atsiskaitymo parinktis, kad žmonės galėtų užsiprenumeruoti paslaugą už nurodytą sumą.
Kai prekybininkas pristabdo prenumeratoriaus prenumeratą, PayPal automatiškai išsiųs abonentui el. laišką, kad praneštų, kad automatinis mokėjimas nebeaktyvus.
Tačiau kai „BleepingComputer“ bandė pakartoti sukčiavimą, prie klientų aptarnavimo URL pridėdama kitą tekstą nei URL, „PayPal“ atmes pakeitimą, nes leidžiamas tik URL.
Todėl atrodo, kad sukčiai naudojasi „PayPal“ prenumeratos metaduomenų tvarkymo trūkumu arba naudoja metodą, pvz., API arba senąją platformą, kuri nepasiekiama visuose regionuose, leidžiančią klientų aptarnavimo URL lauke saugoti netinkamą tekstą.
Dabar, kai žinome, kaip jie generuoja el. laišką iš PayPal, vis dar neaišku, kaip jis siunčiamas žmonėms, kurie neprisiregistravo PayPal prenumeratos.
Laiškų antraštės rodo, kad „PayPal“ iš tikrųjų siunčia el. laišką adresu „receipt3@bbcpaglomoonlight.studio“, kuris, mūsų manymu, yra el. pašto adresas, susietas su netikru prenumeratoriumi, kurį sukūrė sukčius.
Ši paskyra greičiausiai yra „Google Workspace“ adresų sąrašas, kuris automatiškai persiunčia visus gautus el. laiškus visiems kitiems grupės nariams. Šiuo atveju nariai yra žmonės, į kuriuos nusitaiko sukčius.
Dėl šio persiuntimo visos vėlesnės SPF ir DMARC patikros gali nepavykti, nes el. laišką persiuntė serveris, kuris nebuvo pradinis siuntėjas.
Kai „BleepingComputer“ susisiekė su „PayPal“ ir paklausė, ar ši problema išspręsta, jie atsisakė komentuoti ir pasidalino šiuo pareiškimu.
„PayPal“ netoleruoja nesąžiningos veiklos ir sunkiai dirbame, kad apsaugotume savo klientus nuo nuolat besikeičiančių sukčiavimo taktikų“, – „BleepingComputer“ sakė PayPal.
„Mes žinome apie šią sukčiavimo sukčiavimą ir skatiname žmones visada būti budriems internete ir atminti netikėtus pranešimus. Jei klientai įtaria, kad jie yra sukčiavimo taikinys, rekomenduojame kreiptis pagalbos į klientų aptarnavimo skyrių tiesiogiai per PayPal programėlę arba mūsų kontaktų puslapį.”
Sugedęs IAM yra ne tik IT problema – poveikis skleidžiasi visame versle.
Šiame praktiniame vadove aprašoma, kodėl tradicinė IAM praktika neatitinka šiuolaikinių reikalavimų, pateikiami pavyzdžiai, kaip atrodo „geras“ IAM, ir paprastas kontrolinis sąrašas, kaip sukurti keičiamo dydžio strategiją.
