Devam eden bir PayPal e -posta aldatmaca, sahte satın alma bildirimleri göndermek için platformun adres ayarlarından yararlanır ve kullanıcıları dolandırıcılara uzaktan erişim sağlama için kandırır
Geçen ay için BleepingComputer ve diğerleri [1, 2] PayPal’dan “Yeni bir adres eklediniz. Bu sadece PayPal hesabınıza bir adres eklediğinizi hızlı bir şekilde onayladınız.”
E -posta, bir MacBook M4 için satın alma onayı olduğunu iddia eden bir mesaj da dahil olmak üzere PayPal hesabınıza eklendiği iddia edilen yeni adresi içerir ve satın alma yetkisine sahip değilseniz ekteki PayPal numarasını çağırır.
“Onay: MacBook M4 MAX 1 TB (1098.95 $) için gönderim adresiniz değiştirildi. Bu güncellemeye izin vermediyseniz, lütfen +1-888-668-2508 numaralı telefondan PayPal’a ulaşın.”
Kaynak: BleepingComputer
E -postalar doğrudan PayPal tarafından “Service@paypal.com” adresinden gönderiliyor ve insanların hesaplarının hacklendiğinden endişe etmesine neden oluyor.
Ancak, bu e -postayı alanlar, hesaplarına yeni bir adres eklenmediğini doğruladılar. Bizim durumumuzda, aldatmaca e -postası PayPal hesabı olmayan bir e -posta adresine gönderildi.
Ayrıca, e -postalar meşru PayPal e -postaları olduğundan, güvenlik ve spam filtrelerini atlıyorlar. Bir sonraki bölümde, dolandırıcıların bu e -postaları nasıl gönderdiğini açıklayacağız.
Bu e -postaların amacı, alıcıları hesaplarının bir MacBook satın almak ve e -posta alıcısını dolandırıcının “PayPal Destek” telefon numarasını çağırmaya korkutmak için hacklendiğini düşünmek için kandırmaktır.
Numarayı ararken, bir kayıt otomatik olarak PayPal Müşteri Hizmetlerine ulaştığınızı ve bir destek kişisi kullanılabilirken tutacağını belirten çalacaktır. Arama daha sonra sizi bir “müşteri desteği” kişisine bağlamaya çalışacaktır.
Bu dolandırıcı, hesabınızın saldırıya uğradığını düşünmeye korkutmaya çalışacak ve sizi soruna erişimi “yardımcı olabilmeniz ve iddia edilen işlemi engellemenize yardımcı olabilmeleri için yazılımı indirmeye ve çalıştırmaya ikna etmeye çalışacaktır.
Scammer sizi Pplassist gibi bir siteyi ziyaret etmeye yönlendirecek[.]Com ve sahte PayPal çalışanı tarafından verilen bir hizmet kodu girin. Bu kodu girme, ConnectWise Screenconnect istemcisini indirecektir [VirusTotal] Lokermy.numaduliton’dan[.]YBÜ veya dolandırıcının koşmanızı isteyeceği diğer siteler.
Kaynak: BleepingComputer
Bu noktada, dolandırıcıya asıldık ve programı cihazlarımızda yürütmedik.
Ancak, bu gibi önceki dolandırıcılıklarda, tehdit aktörü bilgisayara eriştikten sonra, banka hesaplarından para çalmaya, kötü amaçlı yazılım dağıtmaya veya bilgisayardan veri çalmaya çalışırlar.
Bu nedenle, PayPal’dan adresinizi güncellediğinizi belirten meşru bir e -posta alırsanız ve sahte bir satın alma onayı içeriyorsa, e -postayı yok saymanız ve scammer’a ait olduğu için listelenen telefon numarasına başvurmayın.
Güvenli olmak için, bunun yerine, PayPal hesabınıza giriş yapın ve ek adreslerin eklenmediğini onaylayın ve değilse e -postayı önemsizdir.
Paypal Scam Nasıl Çalışır
BleepingComputer bu e -postayı ilk aldığında, e -posta “service@paypal.com” dan, onunla ilişkili bir PayPal hesabı olmayan bir e -posta adresine gönderildikçe karıştırıldık.
Ayrıca, posta başlıkları, e -postaların meşru olduğunu, DKIM e -posta güvenlik kontrollerini geçtiğini ve aşağıda gösterildiği gibi doğrudan PayPal’ın posta sunucusundan kaynaklandığını gösteriyor.
Received: from mx1.phx.paypal.com (mx1.phx.paypal.com. [66.211.170.87])
by mx.google.com with ESMTPS id 41be03b00d2f7-addf237d3e1si10521113a12.387.2025.02.18.07.30.09
for
İlk başta bu metni e -postanın altındaki bu metni fark edene kadar bu meşru e -postaların PayPal’dan nasıl gönderildiği belirsizdi.
PayPal e -posta bildirimini, “Kredi kartınızı bu adresinize bağlamak veya birincil adresinize bağlamak istiyorsanız, PayPal hesabınıza giriş yapın ve profilinize gidin.”
“Bu adres bir hediye adresi olduğundan, sadece bir tıklamayla paket gönderebilirsiniz.”
Daha fazla araştırma, “hediye adreslerinin” sadece PayPal profilinize ekleyebileceğiniz ek adresler olduğunu ortaya koydu.
Bir testte, BleepingComputer hesaplarımızdan birine yeni bir adres ekledi ve Scammer’ın Sahte MacBook satın alma onay mesajını adres 2 alanına yapıştırdı.
Adresi kaydettikten sonra, PayPal bize aynı onay e -postasını göndererek bize eklediğimiz yeni adresi bildirerek sahte satın alma mesajını da içeriyordu.
Artık PayPal’dan e -postayı nasıl ürettiklerini bildiğimize göre, hala tüm hedeflere göndermek için PayPal’ı nasıl aldıklarını bilmiyoruz.
Posta başlıklarının daha fazla analizi üzerine, e -postanın aslında dolandırıcının PayPal adresi ile ilişkili e -posta adresi olan “noreply_us@usaea.institute” adresine gönderildiğini görebiliriz.
Üstbilgiler ayrıca, bu e -posta adresinin aldığı e -postayı otomatik olarak bir Microsoft 365 kiracısıyla ilişkili bir hesap olan “Bill_complete1@zodu.onmicrosoft.com” olarak ilettiğini gösterir.
Bu hesap muhtemelen aldığı e -postaları otomatik olarak diğer tüm grup üyelerine ileten bir posta listesidir. Bu durumda, üyeler siz ve ben, dolandırıcının hedefleri.
PayPal’a aldatmaca adresini eklediklerinde, ödeme platformu, tehdit oyuncusunun e -postasına bir onay e -postayla gönderecek ve daha sonra Microsoft 365 hesabına iletecek ve daha sonra akış şemasında gösterildiği gibi posta listesindeki herkese iletecek altında.
Kaynak: BleepingComputer
PayPal, bu aldatmacayı, adres form alanlarındaki karakter sayısını sınırlamayarak, tehdit aktörlerinin aldatmaca mesajlarını enjekte etmesini sağlar.
Bunu düzeltmek için PayPal, adres alanındaki karakter sayısını daha az olmasa da 50 karakter gibi makul bir karakter sayısıyla sınırlandırmalıdır.
BleepingComputer bu aldatmaca hakkında PayPal ile temasa geçti ve e -postamıza bir yanıt bekliyor.