Hackers verzenden door de e-mailinstellingen van het PayPal-betaalplatform te manipuleren phishingmails vanaf een legitiem PayPal e-mailadres naar slachtoffers. Hiermee hopen zij deze uiteindelijk te manipuleren malware te downloaden waarmee bankrekeningen kunnen worden geplunderd en meer.
Hackers, schrijft BleepingComputer, zij door de e-mailinstellingen van het PayPal-betaalplatform te manipuleren in staat phishingmails te verzenden vanuit het legitieme ‘service@paypal.com’-mailadres. Door het legitieme verzendadres van deze mails, ontsnappen deze vaak aan security- en spamfilters, zodat slachtoffers deze normaal in hun inbox krijgen.
Phishing-proces
In de mails geven de hackers aan dat er een nieuw bezorgadres voor hun PayPal-account is aangemaakt en dat moet worden bevestigd dat dat inderdaad het geval is. Vaak wordt hierbij aangegeven dat voor dit adres een bestelling is geplaatst van bijvoorbeeld een MacBook.
In de mail staat een telefoonnummer van een ‘PayPal helpdesk’ dat slachtoffers moeten bellen, als zij twijfels hierover hebben en meer willen weten. Eenmaal gebeld, worden de slachtoffers eerst in een wachtrij geplaatst voordat zijn door een ‘servicemedewerker’ worden geholpen.
De ‘echte servicemedewerker’ probeert de bellers er vervolgens van te overtuigen dat voor het terugkrijgen van hun account en het blokkeren van de veronderstelde transactie bepaalde software moet worden geïnstalleerd.
Uiteindelijk zorgt deze software ervoor dat de hackers mogelijk bankrekeningen kunnen plunderen, andere malware kunnen toevoegen of data van devices stelen.
Manipulatieproces PayPal-mail
De hackers zijn in staat de PayPal e-mail te manipuleren door zelf een nieuw verzendadres aan te maken. PayPal verstuurt hen een bevestiging hiervan. De hackers sturen deze bevestiging vervolgens door naar het e-mailadres, “bill_complete1@zodu.onmicrosoft.com”, van een door hen gecontroleerde Microsoft 365-account.
Deze account fungeert als een soort mailinglist die automatisch iedere e-mail die het ontvangt doorstuurt naar alle andere groepsleden. In dit geval de e-mailadressen van de mogelijke slachtoffers.
De onderzoekers van BleepingComputer constateren dat PayPal e-mailadressen zijn te manipuleren doordat het betaalplatform het aantal karakters in de adresvelden niet beperkt. Hierdoor zijn hackers in staat hun scamberichten te injecteren.
Mogelijke oplossingen
Deze laatste ontdekking geeft aan dat voor het oplossen van dit probleem PayPal zijn aantal mogelijke karakters in een e-mail moet terugbrengen. Bijvoorbeeld tot 50.
Daarnaast moet iedereen wanneer zij een dergelijke e-mail ontvangen over een nieuw verzendadres, zelf eerst in hun PayPal-account checken of er daadwerkelijk één is toegevoegd. Zo niet, dan kan de mail als spam direct worden weggegooid of geblokkeerd.
PayPal zelf heeft nog niet op de ontdekte phishing-techniek gereageerd.