اسفند ۵, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat

مراقب باشید: ویژگی «آدرس جدید» PayPal برای ارسال ایمیل‌های فیشینگ سوءاستفاده شده است.

مراقب باشید: ویژگی «آدرس جدید» PayPal برای ارسال ایمیل‌های فیشینگ سوءاستفاده شده است.

کلاهبرداران با دستکاری تنظیمات آدرس PayPal، ایمیل‌هایی با محتوای خرید جعلی می‌فرستند و تلاش می‌کنند کاربران را متقاعد کنند که به آن‌ها اجازه دسترسی به سیستم خود را بدهند.

در ماه گذشته، برخی از کاربران [۱, ۲] ایمیل‌هایی از PayPal دریافت کرده‌اند که می‌گویند: «شما یک آدرس جدید اضافه کردید. این فقط یک تأیید سریع است که شما یک آدرس را در حساب PayPal خود اضافه کرده‌اید.»

این ایمیل شامل آدرس جدیدی است که ظاهراً به حساب PayPal شما اضافه شده است، همراه با پیامی که ادعا می‌کند تأیید خرید یک MacBook M4 است و از شما می‌خواهد در صورت تأیید نکردن این خرید، با شماره PayPal درج‌شده تماس بگیرید.

“تأیید: آدرس ارسال شما برای MacBook M4 Max 1 ترابایت (به قیمت ۱۰۹۸٫۹۵ دلار) تغییر کرده است. اگر شما این به‌روزرسانی را تأیید نکرده‌اید، لطفاً با PayPal به شماره +۱-۸۸۸-۶۶۸-۲۵۰۸ تماس بگیرید.” ایمیل کلاهبرداری این‌گونه نوشته شده است.

این ایمیل‌ها مستقیماً از طرف PayPal و از آدرس «service@paypal.com» ارسال می‌شوند، که باعث می‌شود افراد نگران شوند که حساب آن‌ها هک شده است.

با این حال، افرادی که این ایمیل را دریافت کرده‌اند تأیید کردند که در واقع هیچ آدرس جدیدی به حساب‌هایشان اضافه نشده است. در مورد ما، ایمیل کلاهبرداری به آدرسی ارسال شد که هیچ حساب PayPal نداشت.

علاوه بر این، از آنجایی که این ایمیل‌ها، ایمیل‌های قانونی PayPal هستند، از فیلترهای امنیتی و هرزنامه عبور می‌کنند. در بخش بعدی، توضیح خواهیم داد که کلاهبرداران چگونه این ایمیل‌ها را ارسال می‌کنند.

هدف این ایمیل‌ها این است که گیرندگان را فریب دهند تا فکر کنند حساب آن‌ها برای خرید یک MacBook هک شده است و آن‌ها را بترسانند تا با شماره تلفن جعلی «پشتیبانی PayPal» که متعلق به کلاهبرداران است تماس بگیرند.

وقتی با این شماره تماس بگیرید، یک پیام ضبط‌شده به‌طور خودکار پخش می‌شود که اعلام می‌کند شما با خدمات مشتریان PayPal تماس گرفته‌اید و باید منتظر بمانید تا یکی از کارکنان پشتیبانی در دسترس قرار بگیرد. سپس تماس تلاش می‌کند شما را به یک شخص از بخش «پشتیبانی مشتری» متصل کند.

این کلاهبردار سعی می‌کند شما را بترساند و به شما القا کند که حسابتان هک شده است، سپس شما را متقاعد می‌کند که یک نرم‌افزار را دانلود و اجرا کنید تا به اصطلاح به شما «کمک» کند دوباره به حسابتان دسترسی پیدا کنید و تراکنش ادعایی را مسدود کنید.

کلاهبردار شما را راهنمایی می‌کند تا به سایتی مانند pplassist[.]com بروید و یک کد خدماتی که توسط کارمند جعلی PayPal به شما داده شده را وارد کنید. با وارد کردن این کد، یک کلاینت ConnectWise ScreenConnect [بررسی‌شده در VirusTotal] از lokermy.numaduliton[.]icu یا سایت‌های دیگر دانلود می‌شود، که کلاهبردار از شما می‌خواهد آن را اجرا کنید.

در این مرحله، ما تماس را با کلاهبردار قطع کردیم و برنامه را روی دستگاه‌های خود اجرا نکردیم.

ا این حال، در کلاهبرداری‌های مشابه قبلی، هنگامی که مهاجم به رایانه دسترسی پیدا می‌کند، تلاش می‌کند پول را از حساب‌های بانکی سرقت کند، بدافزار نصب کند، یا داده‌های رایانه را بدزدد.

بنابراین، اگر ایمیل معتبری از PayPal دریافت کردید که می‌گوید آدرس خود را به‌روزرسانی کرده‌اید و حاوی یک تأییدیه خرید جعلی است، به سادگی این ایمیل را نادیده بگیرید و با شماره تلفنی که در آن ذکر شده تماس نگیرید، زیرا این شماره متعلق به کلاهبردار است.

برای اطمینان، به جای آن، وارد حساب PayPal خود شوید و تأیید کنید که هیچ آدرس اضافی اضافه نشده است، و اگر اضافه نشده بود، ایمیل را به عنوان هرزنامه نادیده بگیرید.

کلاهبرداری PayPal چگونه کار می‌کند

وقتی BleepingComputer برای اولین بار این ایمیل را دریافت کرد، گیج شدیم، زیرا ایمیل از آدرس ‘service@paypal.com’ ارسال شده بود به یک آدرس ایمیلی که هیچ حساب PayPal به آن متصل نبود.

علاوه بر این، سربرگ‌های ایمیل نشان می‌دهند که ایمیل‌ها معتبر هستند، آزمایش‌های امنیتی ایمیل DKIM را با موفقیت گذرانده‌اند و مستقیماً از سرور ایمیل PayPal ارسال شده‌اند، همان‌طور که در ادامه نشان داده شده است.

در ابتدا مشخص نبود که چگونه این ایمیل‌های معتبر از طرف PayPal ارسال می‌شوند تا اینکه متنی را که در پایین ایمیل قرار دارد مشاهده کردیم.

اگر می‌خواهید کارت اعتباری خود را به این آدرس متصل کنید یا آن را به عنوان آدرس اصلی خود تنظیم نمایید، وارد حساب PayPal خود شده و به پروفایل خود بروید

چون این آدرس یک آدرس هدیه است، شما می‌توانید تنها با یک کلیک بسته‌ها را به آن ارسال کنید.

تحقیقات بیشتر نشان داد که «آدرس‌های هدیه» صرفاً آدرس‌های اضافی هستند که می‌توانید به پروفایل PayPal خود اضافه کنید.

در یک آزمایش، BleepingComputer یک آدرس جدید به یکی از حساب‌های ما اضافه کرد و پیام تأیید خرید جعلی مک‌بوک کلاهبردار را در فیلد آدرس ۲ چسباند.

پس از ذخیره آدرس، PayPal همان ایمیل تأییدیه را برای ما ارسال کرد، که ما را از آدرس جدیدی که اضافه کرده بودیم مطلع می‌کرد و همچنین پیام خرید جعلی را در بر داشت.

اکنون که می‌دانیم چگونه آنها ایمیل را از PayPal تولید می‌کنند، اما هنوز نمی‌دانیم چگونه PayPal را وادار می‌کنند تا آن را به تمام هدف‌ها ارسال کند.

با بررسی بیشتر هدرهای ایمیل، می‌توانیم مشاهده کنیم که ایمیل در واقع به آدرس “noreply_@usaea.institute” ارسال می‌شود، آدرسی که با حساب PayPal کلاهبردار مرتبط است.

هدرها همچنین نشان می‌دهند که این آدرس ایمیل به‌طور خودکار ایمیل دریافتی خود را به “bill_complete1@zodu.onmicrosoft.com” فوروارد می‌کند، که یک حساب مرتبط با یک مستاجر Microsoft 365 است.

این حساب به احتمال زیاد یک لیست پستی است، که به‌طور خودکار هر ایمیلی که دریافت می‌کند را به سایر اعضای گروه فوروارد می‌کند. در این حالت، اعضا شما و من هستند، یعنی اهداف کلاهبردار.

هنگامی که آن‌ها آدرس کلاهبرداری را به PayPal اضافه می‌کنند، پلتفرم پرداخت ایمیل تأییدی را به آدرس ایمیل کلاهبردار ارسال می‌کند، که سپس آن را به حساب Microsoft 365 فوروارد می‌کند و در نهایت به همه اعضای لیست پستی ارسال می‌نماید، همانطور که در نمودار جریان زیر نشان داده شده است.

PayPal این کلاهبرداری را با عدم محدود کردن تعداد کاراکترها در فیلدهای فرم آدرس امکان‌پذیر می‌کند، که به کلاهبرداران اجازه می‌دهد پیام کلاهبرداری خود را تزریق کنند.

برای رفع این مشکل، PayPal باید تعداد کاراکترهای موجود در فیلد آدرس را به یک مقدار معقول، مانند ۵۰ کاراکتر یا کمتر، محدود کند.

 

 

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب