⚡ Não perca: notícia importante no ar! ⚡
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um golpe por e-mail está abusando do recurso de faturamento "Assinaturas" do PayPal para enviar e-mails legítimos do PayPal que contêm notificações de compra falsas incorporadas no campo URL de atendimento ao cliente.
Nos últimos meses, pessoas relataram [1, 2] ter recebido e-mails do PayPal informando: "Seu pagamento automático não está mais ativo".
O e-mail inclui um campo de URL de atendimento ao cliente que foi modificado de alguma forma para incluir uma mensagem informando que você comprou um item caro, como um dispositivo Sony, MacBook ou iPhone.
Esse texto inclui um nome de domínio, uma mensagem informando que um pagamento de US$ 1.300 a US$ 1.600 foi processado (o valor varia de acordo com o e-mail) e um número de telefone para cancelar ou contestar o pagamento. O texto é preenchido com caracteres Unicode que fazem com que partes apareçam em negrito ou em uma fonte incomum, uma tática usada para tentar evitar filtros de spam e detecção de palavras-chave.
"http://[domínio] [domínio] Um pagamento de $ 1.346,99 foi processado com sucesso. Para cancelamento e dúvidas, entre em contato com o suporte do PayPal em +1-805-500-6377", diz o URL de atendimento ao cliente no e-mail fraudulento.
E-mail de assinatura do PayPal usado em golpeFonte: BleepingComputer
Embora isso seja claramente uma fraude, os e-mails estão sendo enviados diretamente pelo PayPal a partir do endereço “service@paypal.com”, levando as pessoas a temerem que suas contas possam ter sido hackeadas.
Além disso, como os e-mails são e-mails legítimos do PayPal, eles contornam os filtros de segurança e de spam. Na próxima seção, explicaremos como os golpistas enviam esses e-mails.
O objetivo desses e-mails é fazer com que os destinatários pensem que sua conta comprou um dispositivo caro e assustá-los e fazê-los ligar para o número de telefone de “suporte do PayPal” do golpista.
E-mails como esses têm sido usados historicamente para convencer os destinatários a ligar para um número para realizar fraudes bancárias ou induzi-los a instalar malware em seus computadores.
Portanto, se você receber um e-mail legítimo do PayPal informando que seu pagamento automático não está mais ativo e contiver uma confirmação de compra falsa, ignore o e-mail e não ligue para o número.
Se você está preocupado com o comprometimento de sua conta do PayPal, faça login em sua conta e confirme que não houve cobrança.
Como funciona o golpe do PayPal
O BleepingComputer recebeu uma cópia do e-mail de alguém que o recebeu e achou estranho que o golpe tivesse origem no endereço de e-mail legítimo "service@paypal.com".
Além disso, os cabeçalhos dos e-mails indicam que os e-mails são legítimos, passam pelas verificações de segurança de e-mail DKIM e SPF e se originam diretamente do servidor de e-mail "mx15.slc.paypal.com" do PayPal, conforme mostrado abaixo.
Resultados de autenticação ARC: i=1; mx.google.com;
dkim=pass header.i=@paypal.com header.s=pp-dkim1 header.b="AvY/E1H+";
spf=pass (google.com: domínio de service@paypal.com designa 173.0.84.4 como remetente permitido) smtp.mailfrom=service@paypal.com;
dmarc=pass (p=REJEITAR sp=REJEITAR dis=NONE) header.from=paypal.com
Recebido: de mx15.slc.paypal.com (mx15.slc.paypal.com. [173.0.84.4])
por mx.google.com com ID ESMTPS a92af1059eb24-11dcb045a3csi5930706c88.202.2025.11.28.09.14.49
para
(versão=cifra TLS1_3=TLS_AES_256_GCM_SHA384 bits=256/256);
Sexta-feira, 28 de novembro de 2025 09:14:49 -0800 (PST)
Depois de testar vários recursos de faturamento do PayPal, o BleepingComputer conseguiu replicar o mesmo modelo de e-mail usando o recurso "Assinaturas" do PayPal e pausando um assinante.
As assinaturas do PayPal são um recurso de cobrança que permite aos comerciantes criar opções de pagamento de assinatura para que as pessoas assinem um serviço por um valor específico.
Quando um comerciante pausa a assinatura de um assinante, o PayPal envia automaticamente um e-mail ao assinante para notificá-lo de que o pagamento automático não está mais ativo.
No entanto, quando o BleepingComputer tentou replicar o golpe adicionando um texto diferente de um URL ao URL do Atendimento ao Cliente, o PayPal rejeitou a alteração, pois apenas um URL é permitido.
Portanto, parece que os golpistas estão explorando uma falha no processamento de metadados de assinatura pelo PayPal ou usando um método, como uma API ou plataforma legada não disponível em todas as regiões, que permite que texto inválido seja armazenado no campo URL de atendimento ao cliente.
Agora que sabemos como eles geram o e-mail do PayPal, ainda não está claro como ele está sendo enviado para pessoas que não se inscreveram na assinatura do PayPal.
Os cabeçalhos do e-mail mostram que o PayPal está na verdade enviando o e-mail para o endereço “receipt3@bbcpaglomoonlight.studio”, que acreditamos ser o endereço de e-mail associado a um assinante falso criado pelo golpista.
Esta conta provavelmente é uma lista de e-mails do Google Workspace, que encaminha automaticamente qualquer e-mail recebido para todos os outros membros do grupo. Nesse caso, os membros são as pessoas que o golpista tem como alvo.
Esse encaminhamento pode fazer com que todas as verificações subsequentes de SPF e DMARC falhem, já que o e
Nos últimos meses, pessoas relataram [1, 2] ter recebido e-mails do PayPal informando: "Seu pagamento automático não está mais ativo".
O e-mail inclui um campo de URL de atendimento ao cliente que foi modificado de alguma forma para incluir uma mensagem informando que você comprou um item caro, como um dispositivo Sony, MacBook ou iPhone.
Esse texto inclui um nome de domínio, uma mensagem informando que um pagamento de US$ 1.300 a US$ 1.600 foi processado (o valor varia de acordo com o e-mail) e um número de telefone para cancelar ou contestar o pagamento. O texto é preenchido com caracteres Unicode que fazem com que partes apareçam em negrito ou em uma fonte incomum, uma tática usada para tentar evitar filtros de spam e detecção de palavras-chave.
"http://[domínio] [domínio] Um pagamento de $ 1.346,99 foi processado com sucesso. Para cancelamento e dúvidas, entre em contato com o suporte do PayPal em +1-805-500-6377", diz o URL de atendimento ao cliente no e-mail fraudulento.
E-mail de assinatura do PayPal usado em golpeFonte: BleepingComputer
Embora isso seja claramente uma fraude, os e-mails estão sendo enviados diretamente pelo PayPal a partir do endereço “service@paypal.com”, levando as pessoas a temerem que suas contas possam ter sido hackeadas.
Além disso, como os e-mails são e-mails legítimos do PayPal, eles contornam os filtros de segurança e de spam. Na próxima seção, explicaremos como os golpistas enviam esses e-mails.
O objetivo desses e-mails é fazer com que os destinatários pensem que sua conta comprou um dispositivo caro e assustá-los e fazê-los ligar para o número de telefone de “suporte do PayPal” do golpista.
E-mails como esses têm sido usados historicamente para convencer os destinatários a ligar para um número para realizar fraudes bancárias ou induzi-los a instalar malware em seus computadores.
Portanto, se você receber um e-mail legítimo do PayPal informando que seu pagamento automático não está mais ativo e contiver uma confirmação de compra falsa, ignore o e-mail e não ligue para o número.
Se você está preocupado com o comprometimento de sua conta do PayPal, faça login em sua conta e confirme que não houve cobrança.
Como funciona o golpe do PayPal
O BleepingComputer recebeu uma cópia do e-mail de alguém que o recebeu e achou estranho que o golpe tivesse origem no endereço de e-mail legítimo "service@paypal.com".
Além disso, os cabeçalhos dos e-mails indicam que os e-mails são legítimos, passam pelas verificações de segurança de e-mail DKIM e SPF e se originam diretamente do servidor de e-mail "mx15.slc.paypal.com" do PayPal, conforme mostrado abaixo.
Resultados de autenticação ARC: i=1; mx.google.com;
dkim=pass header.i=@paypal.com header.s=pp-dkim1 header.b="AvY/E1H+";
spf=pass (google.com: domínio de service@paypal.com designa 173.0.84.4 como remetente permitido) smtp.mailfrom=service@paypal.com;
dmarc=pass (p=REJEITAR sp=REJEITAR dis=NONE) header.from=paypal.com
Recebido: de mx15.slc.paypal.com (mx15.slc.paypal.com. [173.0.84.4])
por mx.google.com com ID ESMTPS a92af1059eb24-11dcb045a3csi5930706c88.202.2025.11.28.09.14.49
para
(versão=cifra TLS1_3=TLS_AES_256_GCM_SHA384 bits=256/256);
Sexta-feira, 28 de novembro de 2025 09:14:49 -0800 (PST)
Depois de testar vários recursos de faturamento do PayPal, o BleepingComputer conseguiu replicar o mesmo modelo de e-mail usando o recurso "Assinaturas" do PayPal e pausando um assinante.
As assinaturas do PayPal são um recurso de cobrança que permite aos comerciantes criar opções de pagamento de assinatura para que as pessoas assinem um serviço por um valor específico.
Quando um comerciante pausa a assinatura de um assinante, o PayPal envia automaticamente um e-mail ao assinante para notificá-lo de que o pagamento automático não está mais ativo.
No entanto, quando o BleepingComputer tentou replicar o golpe adicionando um texto diferente de um URL ao URL do Atendimento ao Cliente, o PayPal rejeitou a alteração, pois apenas um URL é permitido.
Portanto, parece que os golpistas estão explorando uma falha no processamento de metadados de assinatura pelo PayPal ou usando um método, como uma API ou plataforma legada não disponível em todas as regiões, que permite que texto inválido seja armazenado no campo URL de atendimento ao cliente.
Agora que sabemos como eles geram o e-mail do PayPal, ainda não está claro como ele está sendo enviado para pessoas que não se inscreveram na assinatura do PayPal.
Os cabeçalhos do e-mail mostram que o PayPal está na verdade enviando o e-mail para o endereço “receipt3@bbcpaglomoonlight.studio”, que acreditamos ser o endereço de e-mail associado a um assinante falso criado pelo golpista.
Esta conta provavelmente é uma lista de e-mails do Google Workspace, que encaminha automaticamente qualquer e-mail recebido para todos os outros membros do grupo. Nesse caso, os membros são as pessoas que o golpista tem como alvo.
Esse encaminhamento pode fazer com que todas as verificações subsequentes de SPF e DMARC falhem, já que o e
#samirnews #samir #news #boletimtec #cuidado: #assinaturas #do #paypal #são #abusadas #para #enviar #emails #de #compras #falsos
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário