- Oplichters misbruiken de abonnementsfunctie van PayPal om phishing-berichten in legitieme PayPal-e-mails te injecteren
- Een gemanipuleerde klantenservice-URL en een doorsturende Google Workspace-lijst verspreidden de nepmeldingen wijdverspreid
- PayPal zegt het probleem te verzachten en dringt er bij gebruikers op aan om onverwachte abonnements-e-mails met voorzichtigheid te behandelen
Oplichters gebruiken de functie ‘Abonnementen’ van PayPal om overtuigende phishing-e-mails te verzenden en gebruikers te misleiden om toegang tot hun accounts op het platform weg te geven.
Abonnementen is een functie waarmee bedrijven klanten automatisch volgens een regelmatig schema kosten in rekening kunnen brengen. Klanten melden zich eenmalig aan en gaan akkoord met terugkerende betalingen, die PayPal vervolgens automatisch verwerkt.
Als het bedrijf iemands abonnement beëindigt, wordt die persoon hiervan op de hoogte gesteld via e-mail die rechtstreeks van de servers van PayPal komt en als zodanig de meeste e-mailbeveiligingsscans doorstaat.
Misbruik van mailinglijsten
Dus hoe misbruiken de oplichters deze functie?
Als BleepingComputer legt uit dat de e-mail een klantenservice-URL bevat die de boeven op de een of andere manier hebben weten aan te passen om het phishing-bericht op te nemen. Op dit moment is het onbekend hoe ze dat hebben bereikt, en er wordt gespeculeerd dat ze ofwel misbruik maken van een fout in de manier waarop PayPal omgaat met metagegevens van abonnementen, ofwel een API of een oud platform gebruiken.
Het bericht bevat phishing-inhoud die we gewend zijn te zien bij deze oplichting – waarbij ontvangers worden gewaarschuwd dat ze een duur artikel hebben gekocht en dat ze, als ze de bestelling willen annuleren, PayPal moeten bellen op het telefoonnummer dat in het bericht staat.
Dit geeft echter nog steeds geen antwoord op de vraag hoe de slachtoffers dit bericht hebben ontvangen als ze zich nooit op een bepaald bedrijf hebben geabonneerd.
Blijkbaar wordt de originele e-mail naar slechts één adres verzonden: “receipt3@bbcpaglomoonlight.studio”. De onderzoekers denken dat dit een mailinglijst van Google Workspace is die de e-mail automatisch doorstuurt naar alle andere groepsleden die in dit geval het slachtoffer zijn.
“Dit doorsturen kan ertoe leiden dat alle daaropvolgende SPF- en DMARC-controles mislukken, omdat de e-mail is doorgestuurd door een server die niet de oorspronkelijke afzender was”, aldus de publicatie.
PayPal werd op de hoogte gebracht van het misbruik en bevestigde dat het momenteel aan een oplossing werkt:
“PayPal tolereert geen frauduleuze activiteiten en we werken er hard aan om onze klanten te beschermen tegen de voortdurend evoluerende phishing-praktijken”, aldus PayPal. BleepingComputer.
“We proberen deze kwestie actief te verzachten en moedigen mensen aan om online altijd waakzaam te zijn en rekening te houden met onverwachte berichten. Als klanten vermoeden dat ze het doelwit zijn van oplichting, raden we ze aan rechtstreeks contact op te nemen met de klantenondersteuning via de PayPal-app of onze contactpagina voor hulp.”
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En dat kan natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, unboxings in videovorm en ontvang regelmatig updates van ons WhatsAppen te.
