Експерти з кібербезпеки виявили витончену фішингову кампанію, в якій зловмисники використовують легітимні функції PayPal для масової розсилки підроблених повідомлень про покупки. Особливість атаки полягає у тому, що шахрайські листи надходять з офіційної адреси [email protected] та успішно проходять усі системи перевірки автентичності.
Механізм проведення фішингової атаки
Кіберзлочинці знайшли спосіб зловживання функціоналом “подарункових адрес” PayPal. При додаванні додаткової адреси доставки в поле Address 2 вони вставляють текст про нібито здійснену дорогу покупку MacBook. Система автоматично надсилає повідомлення з цим текстом та контактним номером телефону шахраїв, використовуючи офіційні канали комунікації PayPal.
Тактика соціальної інженерії та розповсюдження шкідливого ПЗ
Коли жертва телефонує за вказаним номером, вона потрапляє до фальшивих операторів підтримки. Використовуючи методи соціальної інженерії, шахраї переконують встановити програму віддаленого доступу ConnectWise ScreenConnect. Для поширення шкідливого програмного забезпечення використовуються домени на кшталт pplassist[.]com та lokermy.numaduliton[.]icu.
Технічні аспекти реалізації атаки
Аналіз заголовків електронних листів виявив складну схему автоматичної переадресації через декілька проміжних адрес. Початкове повідомлення надсилається на спеціально створену адресу [email protected], звідки через Microsoft 365 здійснюється масова розсилка потенційним жертвам.
Вразливість у системі PayPal
Головною причиною можливості проведення атаки є відсутність обмежень на кількість символів у полях форм адреси PayPal. Це дозволяє зловмисникам впроваджувати довгі повідомлення, які згодом з’являються в офіційних системних сповіщеннях.
Ця фішингова кампанія демонструє зростаючу витонченість методів кіберзлочинців, які знаходять способи обходу традиційних механізмів захисту. Для захисту від подібних атак рекомендується ретельно перевіряти будь-які повідомлення про несанкціоновані операції, навіть якщо вони надійшли з офіційних джерел. Категорично не рекомендується встановлювати програмне забезпечення на вимогу телефонних операторів та передавати конфіденційні дані третім особам.
