PayPalのアドレス設定を悪用して偽の購入通知を送信し、ユーザーを騙して詐欺師にリモートアクセスを許可させるというEメール詐欺が発生している。
先月から、PayPalから「新しい住所を追加しました。これは、PayPalアカウントにアドレスを追加したことを簡単に確認するためのものです。”
メールには、PayPalアカウントに追加されたとされる新しいアドレスが含まれており、MacBook M4の購入確認であると主張するメッセージや、購入を承認していない場合は同封のPayPal番号に電話するようにというメッセージが含まれています。
「確認:MacBook M4 Max 1 TB(1098.95ドル)の配送先住所が変更されました。この更新を承認していない場合は、PayPalの+1-888-668-2508までご連絡ください」と詐欺メールは書かれている。
ソースは こちら:
メールは「service@paypal.com」というアドレスからPayPalから直接送信されているため、アカウントがハッキングされたのではないかと心配する人が続出している。
しかし、このメールを受信した人々は、実際にアカウントに新しいアドレスが追加されていないことを確認している。私たちのケースでは、詐欺メールはPayPalアカウントを持たないメールアドレスに送信されました。
さらに、このメールはPayPalの正規のメールであるため、セキュリティフィルターやスパムフィルターを回避しています。次のセクションでは、詐欺師がどのようにしてこのようなメールを送信するのかを説明します。
これらのメールの目的は、MacBookを購入するためにアカウントがハッキングされたと受信者をだまし、メール受信者を脅して詐欺師の「PayPalサポート」の電話番号に電話させることです。
この電話番号に電話をかけると、「PayPalカスタマーサービスにつながった」「サポート担当者が出るまでお待ちください」という内容の録音が自動的に流れます。その後、「カスタマーサポート」の担当者に電話を繋ごうとします。
この詐欺師は、あなたのアカウントがハッキングされたと思わせるようにあなたを脅し、アカウントへのアクセスを取り戻し、疑惑の取引をブロックする「手助け」ができるよう、ソフトウェアをダウンロードして実行するよう説得します。
詐欺師は、pplassist[.]comのようなサイトにアクセスし、偽のPayPal従業員から与えられたサービスコードを入力するよう指示します。このコードを入力すると、lokermy.numaduliton[.]icu などのサイトから ConnectWise ScreenConnect クライアント[VirusTotal] がダウンロードされ、詐欺師はこれを実行するように指示します。
ソースを 配布する詐欺師のサイト:
この時点で、私たちは詐欺師の電話を切り、私たちのデバイスでプログラムを実行しませんでした。
しかし、これまでのこのような詐欺では、脅威行為者がコンピュータにアクセスすると、銀行口座から金銭を盗んだり、マルウェアを展開したり、コンピュータからデータを盗み出したりしようとします。
したがって、PayPalからアドレスを更新したという正当なEメールを受信し、その中に偽の購入確認が含まれていた場合は、そのEメールを無視し、記載されている電話番号は詐欺師のものなので連絡しないでください。
念のため、PayPalアカウントにログインし、アドレスが追加されていないことを確認してください。
PayPal詐欺の手口
このメールを最初に受け取ったとき、私たちは混乱しました。そのメールは「service@paypal.com」から、PayPalアカウントに関連付けられていないメールアドレスに送信されていたからです。
さらに、メールヘッダを見ると、以下のように、DKIMメールセキュリティチェックを通過し、PayPalのメールサーバーから直接送信された正当なメールであることがわかります。
Received: from mx1.phx.paypal.com (mx1.phx.paypal.com. [66.211.170.87]) by mx.google.com with ESMTPS id 41be03b00d2f7-addf237d3e1si10521113a12.387.2025.02.18.07.30.09 for <noreply_@usaea.institute>
このような合法的な電子メールがPayPalから送信されていることは、電子メールの下部にあるこのテキストに気づくまで、最初は不明でした。
「このアドレスにクレジットカードをリンクしたい場合、またはこのアドレスをプライマリアドレスにしたい場合は、PayPalアカウントにログインし、プロフィールにアクセスしてください。
「このアドレスはギフトアドレスなので、クリックするだけで荷物を送ることができます」。
さらに調べてみると、”ギフトアドレス “とは、PayPalのプロフィールに追加できるアドレスに過ぎないことがわかった。
試しに、あるアカウントに新しい住所を追加し、詐欺師の偽のMacBook購入確認メッセージを「住所2」フィールドに貼り付けてみた。
アドレスを保存した後、PayPalは同じ確認メールを送り、追加した新しいアドレスを通知し、その中には偽の購入メッセージも含まれていた。
PayPalから電子メールを生成する方法はわかったが、PayPalからすべてのターゲットに電子メールを送信させる方法はまだわかっていない。
メールのヘッダーをさらに分析すると、このメールは実際に「noreply_@usaea.institute」というアドレスに送信されていることがわかる。これは詐欺師のPayPalアドレスに関連付けられたメールアドレスである。
ヘッダーはさらに、このメールアドレスが受信したメールを「bill_complete1@zodu.onmicrosoft.com」というMicrosoft 365のテナントに関連するアカウントに自動的に転送していることを示している。
このアカウントはおそらくメーリングリストであり、受信したメールは自動的に他のグループメンバー全員に転送される。この場合、メンバーは詐欺師のターゲットであるあなたと私だ。
PayPalに詐欺のアドレスを追加すると、決済プラットフォームは脅威行為者の電子メールに確認メールを送信し、脅威行為者はそれをMicrosoft 365アカウントに転送します。
ソース
PayPalは、アドレス・フォーム・フィールドの文字数を制限しないことで、この詐欺を可能にし、脅威行為者が詐欺メッセージを注入できるようにしています。
この問題を解決するには、PayPalはアドレス・フィールドの文字数を50文字など、妥当な文字数に制限する必要があります。
この詐欺についてPayPalに連絡し、電子メールへの返信を待っている。
Comments