Estamos habituados a identificar tentativas de burla online através de sinais óbvios: erros ortográficos, remetentes desconhecidos ou links suspeitos. No entanto, uma nova campanha de phishing está a virar estas regras do avesso ao utilizar a própria infraestrutura do PayPal para enganar as vítimas, exibindo até o cobiçado selo de verificação azul nas caixas de correio.
Este ataque sofisticado explora a confiança que os utilizadores depositam nas plataformas oficiais, contornando os filtros de segurança tradicionais e deixando até os utilizadores mais experientes vulneráveis.
O perigo do selo azul e a legitimidade técnica
O grande trunfo deste esquema reside na sua origem técnica. Ao contrário dos emails falsos tradicionais, estas mensagens são genuinamente enviadas pelos servidores do PayPal. Os atacantes criam contas comerciais na plataforma (embora fraudulentas) e utilizam a funcionalidade legítima de "Pedido de Dinheiro" ou "Fatura".
Como o remetente do email é, de facto, o serviço oficial (service@paypal.com), a mensagem passa com distinção em todos os protocolos de autenticação de email (SPF, DKIM, DMARC). Isto garante que a mensagem não só evita a pasta de spam de serviços como o Gmail da Google, como também recebe o selo de verificação azul (BIMI), que supostamente garante a autenticidade da comunicação.
Um exemplo recente, reportado pela Hackread, mostra uma fatura enviada para um endereço de email obscuro, mas com toda a aparência de legitimidade técnica. Para o sistema de email, a mensagem é segura; para o utilizador, o conteúdo é uma armadilha.
A armadilha na "Nota ao Cliente"
A fraude não está num link malicioso ou num anexo infetado, mas sim na engenharia social contida no corpo da fatura. Os criminosos utilizam o campo "Nota ao Cliente" para inserir uma mensagem alarmante.
Neste espaço, informam a vítima de que a sua conta foi debitada num valor elevado (o exemplo reportado indicava 843,29 dólares) e fornecem um número de telefone para "contactar o suporte" caso não tenham autorizado a transação. O objetivo é induzir o pânico. Ao ver uma cobrança elevada num documento oficial do PayPal, a reação imediata de muitos utilizadores é ligar para o número fornecido para resolver o "erro".
O perigo do ataque via telefone
Este método enquadra-se na categoria de "callback phishing". O número de telefone na nota da fatura não pertence ao PayPal, mas sim a um centro de atendimento fraudulento.
Se a vítima realizar a chamada, os criminosos utilizam táticas de manipulação para:
Solicitar o acesso remoto ao computador da vítima (pedindo a instalação de software como o AnyDesk ou TeamViewer);
Enganar o utilizador para que este inicie sessão na sua conta bancária;
Simular um "reembolso" falso onde convencem a vítima de que transferiram dinheiro a mais por engano, exigindo a devolução da diferença.
Para se proteger, os utilizadores nunca devem ligar para números de telefone incluídos em notas de faturas. O procedimento correto é ignorar o email, abrir o navegador e aceder manualmente ao site oficial do PayPal para verificar a atividade da conta. Se existir uma fatura fraudulenta pendente, esta pode ser cancelada ou reportada diretamente na plataforma. O selo de verificação, infelizmente, deixou de ser uma garantia absoluta de segurança.
Nenhum comentário
Seja o primeiro!