Secondo quanto riferito dai ricercatori di Avanan, in una campagna di phishing in corso, degli attori malevoli starebbero abusando di nuovo di PayPal, ma questa volta in maniera diversa, creando un account e sfruttando una funzionalità lecita per l’invio di e-mail ingannevoli.
Infatti i messaggi di posta elettronica, risulterebbero inviati direttamente dall’indirizzo di PayPal di servizio “service@paypal.com”, superando pertanto tutti i diversi controlli DMARC, DKIM e SPF oltre a sembrare anche legittimi agli occhi degli utenti riceventi.
Come avviene la truffa
Poiché la piattaforma PayPal consente di creare un account gratuitamente, chiunque può farlo anche per finalità malevole. In particolare nella campagna in atto l’attore criminale una volta registratosi utilizzerebbe una funzionalità PayPal per camuffarsi e creare delle e-mail come quelle riportate da Avanan e generate tramite richieste di pagamento: La funzione consente di inviare a qualsiasi indirizzo e-mail valido note personalizzate anche con eventuali allegati.
Lo scopo finale è quello di convincere chi legge queste comunicazioni con argomentazioni allarmanti, a chiamare il numero indicato o a seguire ulteriori indicazioni di una presunta assistenza, perpetrando la truffa anche telefonicamente.
Raccomandazioni
Poiché i messaggi truffaldini provengono direttamente da PayPal, rilevarli e prevenirli può risultare difficile sia per servizi di protezione antispam che per gli utenti stessi.
Pertanto gli esperti raccomandano di controllare sempre la legittimità di un numero telefonico di servizio sconosciuto prima di contattarlo e per gli amministratori di sistema di adottare nella propria azienda strumenti di verifica basati su più indicatori anti phishing oltre ad accrescere la consapevolezza dei propri utenti sulla tematica del phishing.
In ogni caso PayPal per segnalare e-mail sospette ha istituito una casella di posta elettronica dedicata “phishing@paypal.com” e precisa che non chiederà mai ai propri clienti password e dati finanziari tramite e-mail, messaggi o per telefono e raccomanda di non aprire link, scaricare allegati e rispondere ai numeri di telefono eventualmente propinati a corredo.
