אנחנו כבר רגילים להודעות פישינג שמעוצבות כמו מייל שמגיע מספק שירותים מוכר כמו דואר ישראל או חנות אונליין שאנחנו אוהבים, אבל נראה שהסקאמרים מחפשים כל הזמן שיטות להערים על המשתמשים בצורה מתוחכמת יותר.
לאחרונה התגלתה הונאת דואר אלקטרוני מתמשכת המנצלת את הגדרות הכתובות בפלטפורמה של פייפאל כדי לשלוח הודעות רכישה מזויפות, ובכך להטעות משתמשים ולגרום להם להעניק גישה מרחוק להאקרים.
המשתמשים קיבלו הודעה למייל שלהם עם ההודעה שכתובת חדשה (פיזית) נוספה לחשבון הפייפאל שלהם.
ההודעה כוללת את הכתובת החדשה שלכאורה נוספה לחשבונך ב-PayPal, לצד מסר המציג אישור רכישה לכאורה של MacBook M4, וכן בקשה ליצור קשר עם מספר טלפון של PayPal המצורף.
עד כאן זה נשמע די סטנדרטי, אולם במקרה הזה, ובאופן חריג – הודעות הדוא"ל לא נשלחות עם כתובת רנדומלית, אלא מגיעות ישירות מ-PayPal מכתובת "[email protected]", מה שגורם למשתמשים להאמין שחשבונם נפרץ.
עם זאת, מי שקיבלו הודעות אלו אישרו כי בפועל לא נוספו כתובות חדשות לחשבונם. בחלק מהמקרים, המייל המזויף נשלח לכתובת שאין לה חשבון PayPal כלל.
מאחר שהמיילים האלה אותנטיים ונשלחו ישירות מ-PayPal, הן עוקפות מסנני אבטחה וספאם. איך זה קורה?
מטרת הדוא"ל היא לגרום לנמען לחשוב שחשבונו נפרץ ושנעשתה בו רכישה של מקבוק, מה שיבלבל ויפחיד אותו ויגרום לו להתקשר למספר התמיכה המזויף של PayPal.
כאשר מתקשרים למספר, שומעים הודעה מוקלטת האומרת שהגעתם לתמיכת הלקוחות של PayPal, ואתם מתבקשים להמתין לנציג. לאחר מכן ינסה הנציג המזויף לשכנע את המשתמש שהחשבון שלו נפרץ ולהנחות אותו להוריד תוכנה כדי "לעזור" לו לשחזר גישה ולבטל את העסקה.
ההפניה היא למספר אתרים חשודים, והתוכנה נחזית להיות תוכנת השתלטות מרחוק, וכמובן – לא קשורה לפייפאל בשום צורה.
בהונאות שכוללות תוכנת השתלטות, לאחר שהתוקף מקבל גישה למחשב, הוא מנסה לגנוב כסף מחשבונות בנק, להתקין נוזקות, או לגנוב נתונים מהמחשב.
איך ההונאה עובדת?
בדיקת כותרות הדוא"ל הראתה כי ההודעות אמיתיות ועברו בדיקות אבטחה כגון DKIM, ואכן נשלחו משרתי הדוא"ל של PayPal.
לא היה ברור בתחילה כיצד ההודעות הללו נשלחות באופן חוקי דרך PayPal, עד שהחוקרים הבחינו בטקסט הבא בתחתית ההודעה:
"אם אתה רוצה לקשר את כרטיס האשראי שלך לכתובת זו, או להפוך אותה לכתובת הראשית שלך, היכנס לחשבון PayPal שלך ועבור לפרופיל שלך."
"מכיוון שכתובת זו היא כתובת מתנה, תוכל לשלוח חבילות אליה בלחיצה אחת."
מתברר כי יש בפייפאל אופציה שנקראת "כתובות מתנה" – כתובות נוספות שמשתמשים יכולים להוסיף לפרופיל ה-PayPal שלהם.
הסקאמרים הוסיפו כתובת חדשה לחשבון שלהם והדביקו את הודעת הרכישה המזויפת בשדה "כתובת 2". לאחר שמירת הכתובת, PayPal שלחו אליהם הודעת אישור על הוספת הכתובת החדשה, שכללה גם את הודעת ההונאה.
איך הצליחו הסקאמרים להגיע לכל כך הרבה משתמשים? ההודעות נשלחו תחילה לכתובת "[email protected]", שהיא הכתובת המשויכת לחשבון PayPal של התוקף. הכתובת הזו מפנה את הדוא"ל אוטומטית ל-"[email protected]", חשבון השייך ל-Microsoft 365.
חשבון זה כנראה מוגדר כרשימת תפוצה שמעבירה אוטומטית כל דוא"ל שמתקבל לכל החברים ברשימה – שהם למעשה קורבנות ההונאה.
כאשר התוקף מוסיף את כתובת ההונאה לחשבון ה-PayPal שלו, הפלטפורמה שולחת אליו הודעת אישור, אשר מועברת אוטומטית לחשבון Microsoft 365, שמעביר אותה לכל חברי רשימת התפוצה – כלומר הקורבנות.
החוקרים פנו לפייפאל על מנת שתתקן את פרצת האבטחה. בינתיים, אם קיבלתם הודעה מפייפאל, מומלץ שלא להקליק על שום לינק או להתקשר לטלפון, אלא להיכנס ישירות לחשבון שלכם ולבדוק שהכל תקין.
