ハッカーがPayPalのシステムをハイジャックして説得力のある詐欺メールを送信

最近の詐欺では、PayPalの公式アドレス「service@paypal.com」から送られてきたかのように見せかけた偽のメールを送りつけ、PayPalのユーザーを狙っています。

この詐欺で最も懸念すべき点は、攻撃者が正規のPayPalのメールを使用していることです。これらのメッセージは適切に認証されているため、Forbesによると、セキュリティフィルターやスパム保護を回避しています。

これにより、受信者がメールを信頼し、指示に従う可能性が高くなり、結果的に詐欺師は彼らのPayPalアカウントへのアクセスを得ることができます。

新しいPayPalフィッシングテクニック、すべてのフィルターをバイパス?
byu/prometheus_0day inScams

Bleeping Computerが最初に報じたこの詐欺は、新たな配送先住所がアカウントに追加されたという主張をメールで送り、例えば「MacBook M4 Max 1 TBを$1,098.95で購入しました」といった偽の購入情報を含める手口です。

このメールでは、変更を許可していない場合は提供された電話番号に連絡するよう受信者に促します。研究者たちは、詐欺師たちがPayPalの「ギフトアドレス」機能を悪用していると説明しています。この機能は、ユーザーが自分のアカウントに複数の配送先住所を追加することを可能にします。

彼らは不正なメッセージをアドレス欄に挿入し、それによって自分たちのメールアドレスに正規の確認メールがPayPalから送られるように仕向けます。

次に、これらのメールがさらに広範囲の対象者リストに転送され、まるでPayPalが直接彼らに連絡しているかのように見せかけます。これらのメールはPayPalのサーバーから送信されているため、しばしばスパムフィルターを回避し、受信者には本物に見えます。

主な目的は、受信者に自分のアカウントが侵害されたと信じさせることです。メールでは、偽のカスタマーサポート番号に電話するよう促します。被害者が電話をかけると、PayPalの担当者を装った詐欺師が問題解決の名目でソフトウェアをダウンロードするよう指示します。

このソフトウェアにより、詐欺師は被害者のコンピューターにリモートアクセスでき、個人情報を盗んだり、悪意のあるプログラムをインストールしたり、金融アカウントにアクセスしたりすることが可能になります。

このような詐欺から身を守るために、研究者たちはユーザーが怪しいメールからの連絡先を使用するのではなく、公式ウェブサイトやアプリを通じて直接自分のPayPalアカウントにログインして、アカウントの変更を確認するべきだと述べています。

メールが正当に見えるとしても、その真正性が確認されるまでリンクや添付ファイルを開くべきではありません。

研究者たちは、”Dear user”のような一般的な挨拶、直ちに行動を求める緊急の要求、または認識できない取引の通知など、フィッシング試みの一般的な警告信号について説明しています。

怪しい通信は、削除する前にphishing@paypal.comに転送すべきです。

このセキュリティインシデントは、PayPalがそのサイバーセキュリティ対策についてより厳しい検討を受けている中で発生しました。別のケースでは、同社は2022年末のデータ漏洩を防げなかったため、ニューヨークの金融サービス局から200万ドルの罰金を科されました。

この漏洩は7週間にわたって続き、PayPalが多要素認証とCAPTCHAを実装しなかったため、社会保障番号を含む顧客の機密情報が公開されました。

その会社は、多要素認証を義務付け、ログインプロトコルを厳格にすることで、セキュリティ対策を強化してきました。

Bleeping Computerの報道によると、PayPalは新たな詐欺問題を認め、そのシステムの悪用を防ぐ対策を練っていると伝えられています。その間、ユーザーは自分のアカウントを保護するために警戒心を持ち続け、積極的に行動することを勧められています。