詐欺師は、PayPalのアドレス設定を活用して、正当であると思われるフィッシングメールを送信し、ユーザーがアカウントが妥協されていると考えていると考えています。
からの新しいレポートによるとブリーディングコンピュータ、ユーザーは、新しく追加された配送先住所を確認するPayPalから1か月以上の電子メールを受け取ってから不平を言っています。
「新しいアドレスを追加しました。これは、PayPalアカウントにアドレスを追加したことを簡単に確認することです」と詐欺メールは読みます。
これらのメッセージは、PayPalの公式住所から送信されました。[保護された電子メール]」、MacBook M4の購入が受信者のアカウントにリンクされており、トランザクションを承認しなかった場合はサポート番号を呼び出すように依頼したと主張しています。
「確認:MacBook M4 Max 1 TB(1098.95ドル)の配送先住所が変更されました。このアップデートを承認しなかった場合は、PayPal at +1-888-668-2508 'に連絡してください」とさらに付け加えます。
外観にもかかわらず、これらのメールは詐欺的です。 PayPalアカウントのないものを含む多くの受信者は、実際にアドレスが追加されていないことを確認しています。
詐欺師は、PayPalの正当な電子メールインフラストラクチャを活用します(“[保護された電子メール]」)、これらのメッセージがセキュリティとスパムフィルターをバイパスできるようにします。これだけでなく、アカウントがハッキングされたことを人々に心配させます。
詐欺の仕組み
電子メールは、受信者がPayPalアカウントがハッキングされてMacBookを購入するように誤解を招くように設計されており、詐欺師の「PayPalサポート」番号に連絡するよう圧力をかけます。
被害者が偽のサポート番号を呼び出すと、PayPalカスタマーサービスであると主張する自動化されたメッセージが聞こえ、サポート担当者が利用可能になる間、保持するように求められます。このコールは、受信者を想定される「カスタマーサポート」担当者に接続します。
詐欺師は、被害者にアカウントがハッキングされていると信じるように怖がらせようとし、アカウントを保護し、想定される取引を防ぐためにリモートアクセスソフトウェアをダウンロードするよう説得します。
インストールされた場合、ソフトウェアは詐欺師に被害者のデバイスを制御し、潜在的に経済的盗難、データ侵害、またはマルウェア感染につながる可能性があります。
によるとブリーディングコンピュータ、詐欺スキームをテストした人は、PayPalの「ギフトアドレス」機能を悪用します。これにより、ユーザーはアカウントに二次アドレスを追加できます。
詐欺師はフィッシングメッセージをアドレスフィールドに挿入し、PayPalのシステムをトリガーして、不正な購入の詳細を含む確認メールを送信します。次に、メーリングリストのトリックを使用して、メッセージを多数のターゲットに配布します。
自分を守る方法
疑わしい購入確認で許可されていないアドレスの変更についてPayPalから正当な電子メールを受け取った場合は、リストされた番号に連絡しないでください。
代わりに、PayPalアカウントに直接ログインして、変更を確認します。すべてが正常に見える場合は、電子メールを無視して削除します。
PayPalのこのような詐欺は、アドレスフォームフィールドに追加できる文字の数に制限がないため、可能です。
これを修正するために、PayPalはアドレスフィールドにより厳格な文字制限を実装して、脅威アクターが欺cept的な詐欺メッセージを注入するのを防ぐ必要があります。
PayPalはまだレポートについてコメントしていません。
