على مدار الشهرين الماضيين، أبلغ الأشخاص [1، 2] عن تلقي رسائل بريد إلكتروني من PayPal تفيد بأن "الدفع التلقائي الخاص بك لم يعد نشطًا".
يتضمن البريد الإلكتروني حقل URL لخدمة العملاء تم تعديله بطريقة ما ليشمل رسالة تفيد بأنك اشتريت عنصرًا باهظ الثمن، مثل جهاز Sony أو MacBook أو iPhone.
يتضمن هذا النص اسم نطاق، ورسالة تفيد بأنه تمت معالجة دفعة تتراوح بين 1300 دولار إلى 1600 دولار (يختلف المبلغ حسب البريد الإلكتروني)، ورقم هاتف لإلغاء الدفع أو الاعتراض عليه. يحتوي النص على أحرف Unicode التي تجعل أجزاءً منه تبدو غامقة أو بخط غير عادي، وهي تكتيك يستخدم لمحاولة التهرب من مرشحات البريد العشوائي واكتشاف الكلمات الرئيسية.
على الرغم من أن هذه عملية احتيال واضحة، إلا أن رسائل البريد الإلكتروني يتم إرسالها مباشرة عبر PayPal من العنوان "service@paypal.com"مما يدفع الناس إلى القلق من احتمال تعرض حساباتهم للاختراق.
علاوة على ذلك، نظرًا لأن رسائل البريد الإلكتروني هي رسائل بريد إلكتروني شرعية لـ PayPal، فإنها تتجاوز مرشحات الأمان والبريد العشوائي. وفي القسم التالي، سنشرح كيف يرسل المحتالون رسائل البريد الإلكتروني هذه.
الهدف من رسائل البريد الإلكتروني هذه هو خداع المستلمين للاعتقاد بأن حساباتهم اشترت جهازًا باهظ الثمن وإخافتهم ودفعهم إلى الاتصال برقم هاتف "دعم PayPal" الخاص بالمحتال.
تاريخيًا، تم استخدام رسائل البريد الإلكتروني مثل هذه لإقناع المستلمين بالاتصال برقم لإجراء عمليات احتيال مصرفي أو خداعهم لتثبيت برامج ضارة على أجهزة الكمبيوتر الخاصة بهم.
لذلك، إذا تلقيت بريدًا إلكترونيًا شرعيًا من PayPal يفيد بأن الدفع التلقائي الخاص بك لم يعد نشطًا، ويحتوي على تأكيد شراء مزيف، فتجاهل البريد الإلكتروني ولا تتصل بالرقم.
إذا كنت قلقًا من تعرض حساب PayPal الخاص بك للاختراق، فقم بتسجيل الدخول إلى حسابك وتأكد من عدم وجود أي رسوم.
كيف تعمل عملية احتيال PayPal
تم إرسال نسخة من البريد الإلكتروني إلى BleepingComputer من شخص تلقاها ووجد أنه من الغريب أن عملية الاحتيال نشأت من "service@paypal.com"عنوان البريد الإلكتروني.
علاوة على ذلك، تشير رؤوس البريد الإلكتروني إلى أن رسائل البريد الإلكتروني شرعية، وتجتاز فحوصات أمان البريد الإلكتروني DKIM وSPF، وتنشأ مباشرة من خادم البريد "mx15.slc.paypal.com" الخاص بـ PayPal، كما هو موضح أدناه.
اشتراكات PayPal هي ميزة فوترة تتيح للتجار إنشاء خيارات إتمام الاشتراك ليتمكن الأشخاص من الاشتراك في خدمة بمبلغ محدد.
عندما يقوم التاجر بإيقاف اشتراك المشترك مؤقتًا، سيقوم PayPal تلقائيًا بإرسال بريد إلكتروني إلى المشترك لإعلامه بأن الدفع التلقائي الخاص به لم يعد نشطًا.
ومع ذلك، عندما حاول BleepingComputer تكرار عملية الاحتيال عن طريق إضافة نص بخلاف عنوان URL إلى عنوان URL لخدمة العملاء، رفض PayPal التغيير لأنه يُسمح فقط بعنوان URL.
لذلك، يبدو أن المحتالين يستغلون خللًا في تعامل PayPal مع بيانات تعريف الاشتراك أو يستخدمون طريقة، مثل واجهة برمجة التطبيقات أو النظام الأساسي القديم غير المتوفر في جميع المناطق، والتي تسمح بتخزين نص غير صالح في حقل عنوان URL لخدمة العملاء.
الآن بعد أن عرفنا كيفية إنشاء البريد الإلكتروني من PayPal، لا يزال من غير الواضح كيف يتم إرساله إلى الأشخاص الذين لم يسجلوا في اشتراك PayPal.
تُظهر رؤوس البريد أن PayPal يرسل البريد الإلكتروني بالفعل إلى العنوان "receipt3@bbcpaglomoonlight.studio"، والذي نعتقد أنه عنوان البريد الإلكتروني المرتبط بمشترك مزيف أنشأه المحتال.
من المحتمل أن يكون هذا الحساب عبارة عن قائمة بريدية لـ Google Workspace، والتي تقوم تلقائيًا بإعادة توجيه أي بريد إلكتروني تتلقاه إلى جميع أعضاء المجموعة الآخرين. في هذه الحالة، الأعضاء هم الأشخاص الذين يستهدفهم المحتال.
قد يؤدي هذا التوجيه إلى فشل جميع عمليات التحقق اللاحقة من SPF وDMARC، حيث تم إعادة توجيه البريد الإلكتروني بواسطة خادم لم يكن المرسل الأصلي.
عندما اتصلت BleepingComputer بـ PayPal للسؤال عما إذا تم إصلاح هذه المشكلة، رفضوا التعليق وشاركوا البيان التالي بدلاً من ذلك.
وقالت شركة باي بال: "لا تتسامح باي بال مع الأنشطة الاحتيالية، ونحن نعمل بجد لحماية عملائنا من تكتيكات الاحتيال المتطورة باستمرار".
"نحن على علم بهذه الخدعة الاحتيالية ونشجع الأشخاص على أن يكونوا دائمًا يقظين عبر الإنترنت ومنتبهين للرسائل غير المتوقعة. إذا اشتبه العملاء في أنهم هدف لعملية احتيال، فإننا نوصيهم بالاتصال بدعم العملاء مباشرة من خلال تطبيق PayPal أو صفحة الاتصال الخاصة بنا للحصول على المساعدة."
