A Fortinet alertou sobre uma sofisticada campanha de phishing que usa links genuínos para enganar vítimas e assumir o controle de suas contas do PayPal. Diferente dos métodos tradicionais de phishing, essa tática se aproveita da utilização de links legítimos, tornando o ataque mais difícil de ser detectado por sistemas de segurança. Os e-mails fraudulentos informam sobre uma suposta solicitação de pagamento, detalhando valores e IDs de transação que aparentam ser autênticos, além de incluir avisos que normalmente apareceriam em mensagens legítimas do PayPal.
Leia também
Campanha maliciosa afeta centenas de contas do Azure
Máquina quântica quebrou chave de 22 bits
Os e-mails de phishing vêm de um endereço legítimo do PayPal e contêm uma URL genuína, o que faz com que passem por verificações de segurança, como SPF e DKIM, que validam a autenticidade das mensagens. Ao clicar no link, a vítima é redirecionada para uma página de login do PayPal que exibe uma solicitação de pagamento. Isso causa um pânico na vítima, que, ao tentar entender a transação, acaba inserindo suas credenciais, o que permite que os invasores assumam o controle da conta.
O truque ocorre quando, após o login, a página vincula a conta do PayPal da vítima ao endereço de e-mail do invasor, que está oculto no campo “Para:” do e-mail. No exemplo analisado pela Fortinet, o endereço do phisher era “Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com”. Para conduzir o ataque, o invasor usou um domínio do Microsoft 365, que oferece três meses gratuitos para novos usuários, criando uma lista de distribuição contendo os endereços de e-mail das vítimas alvo.
Após criar essa lista, o golpista solicita dinheiro por meio do portal do PayPal, usando o endereço de e-mail modificado pelo Microsoft 365 Sender Rewrite Scheme. Esse esquema permite que os e-mails passem nas verificações de segurança, sem levantar suspeitas. Quando a vítima tenta fazer login, suas credenciais são capturadas, e o endereço de e-mail do invasor é vinculado à conta do PayPal da vítima, permitindo que o atacante tenha controle total da conta.
De acordo com a Fortinet, o ataque é tão bem disfarçado que poderia passar despercebido até mesmo pelas ferramentas de verificação de phishing do próprio PayPal. A empresa alerta que, para se proteger contra essas ameaças, os usuários devem sempre ser cautelosos com e-mails não solicitados, independentemente de parecerem legítimos. A situação também destaca a importância de treinar funcionários e usuários para reconhecerem essas ameaças e protegerem suas informações pessoais e corporativas.