Uma nova vaga de ataques de phishing está a apanhar muitos utilizadores de surpresa, utilizando a própria infraestrutura do PayPal para enviar emails fraudulentos que parecem, aos olhos de qualquer filtro de segurança, perfeitamente legítimos. O esquema aproveita-se da funcionalidade de "Subscrições" da plataforma de pagamentos para enviar notificações reais, mas com mensagens manipuladas que visam roubar as vítimas.
Nos últimos meses, surgiram vários relatos de utilizadores que receberam emails provenientes do endereço oficial "service@paypal.com". A mensagem, à primeira vista inócua, informa que "o seu pagamento automático deixou de estar ativo". O problema reside no facto de estes emails passarem em todas as verificações de autenticidade (SPF e DKIM), uma vez que são efetivamente enviados pelos servidores do PayPal.
Como funciona o esquema das "Subscrições"
A base deste ataque reside na manipulação de um campo específico nas faturas de subscrição do PayPal. Os burlões utilizam o sistema de faturação para criar subscrições falsas e, de seguida, "pausam" ou cancelam essas subscrições, o que leva o PayPal a enviar automaticamente um email de notificação ao utilizador.
O "truque" está no campo destinado ao "URL do Serviço de Apoio ao Cliente". Em vez de um link legítimo, os atacantes conseguiram inserir texto personalizado. Este texto simula uma confirmação de compra de valores elevados, variando geralmente entre os 1300 e os 1600 dólares. A mensagem fraudulenta alega que o pagamento foi processado com sucesso para a compra de dispositivos eletrónicos, como equipamentos da Sony, MacBooks ou iPhones da Apple.
Para tornar a fraude mais convincente e evitar a deteção por algoritmos de spam baseados em texto, os atacantes utilizam caracteres Unicode que alteram o aspeto da fonte ou colocam partes do texto a negrito. O objetivo final é levar a vítima a entrar em pânico e ligar para um número de telefone fornecido na mensagem falsa, onde será atendida por um falso centro de suporte pronto para roubar dados bancários ou instalar malware no computador.
A distribuição técnica do ataque
Investigações indicam que, embora o email chegue através dos servidores do PayPal, o método de distribuição envolve uma camada adicional. Os cabeçalhos dos emails analisados mostram que as mensagens são enviadas para endereços que parecem pertencer a listas de correio geridas através do Google Workspace.
Ao enviar a notificação para uma destas listas, o serviço reencaminha automaticamente a mensagem para as verdadeiras vítimas. Como o remetente original é o PayPal, os filtros de email tendem a confiar na mensagem. Embora testes efetuados por especialistas não tenham conseguido replicar a inserção de texto livre no campo de URL através dos métodos convencionais, suspeita-se que os atacantes estejam a explorar uma falha numa API específica ou numa plataforma "legacy" do PayPal para conseguir injetar a mensagem fraudulenta.
O que deve fazer para se proteger
A sofisticação deste ataque torna-o particularmente perigoso, pois o remetente é genuíno. No entanto, a regra de ouro mantém-se: se receber uma notificação de pagamento inesperada, nunca utilize os contactos fornecidos no próprio email.
Em vez de ligar para o número apresentado na mensagem manipulada, deve aceder diretamente à sua conta PayPal através do site oficial ou da aplicação móvel para verificar se existe, de facto, qualquer movimento ou subscrição ativa. Conforme indicado por relatos de utilizadores no Reddit e registos no BBB Scam Tracker, estas mensagens devem ser ignoradas se não existir correspondência no seu histórico de transações real.
O PayPal, quando confrontado com a situação, afirmou que não tolera atividades fraudulentas e continua a trabalhar para proteger os clientes, recomendando o contacto direto através dos canais oficiais em caso de suspeita.
Nenhum comentário
Seja o primeiro!