Мошенники начали злоупотреблять функцией «Подписки» в системе PayPal для рассылки легитимных писем от имени системы с поддельными уведомлениями о покупках.

За последние несколько месяцев пользователи сообщали о получении писем от имени PayPal с сообщением: «Ваш автоматический платёж больше не активен». В нём содержится модифицированное поле URL-адреса службы поддержки клиентов с сообщением о том, что человек приобрёл дорогостоящий товар, например, устройство Sony, MacBook или iPhone. Текст включает доменное имя, сообщение о том, что был обработан платёж в размере от $1300 до $1600, и номер телефона для отмены или оспаривания платежа. Текст заполнен символами Unicode, из-за чего некоторые его части отображаются жирным или необычным шрифтом.

«http://[domain] [domain] Платеж в размере 1346,99 долларов США успешно обработан. Для отмены и получения дополнительной информации обратитесь в службу поддержки PayPal по телефону +1-805-500-6377», — гласит URL-адрес службы поддержки в мошенническом электронном письме. 

Хотя это явно мошенничество, электронные письма отправляются напрямую PayPal с адреса «service@paypal.com», что заставляет пользователей обеспокоиться возможным взломом своих учётных записей. Более того, поскольку эти письма являются подлинными, они обходят фильтры безопасности и спама. Если человек всё же позвонит по номеру телефона «службы поддержки PayPal» мошенника, то подвергнется фишингу. Так, его могут обманом заставить установить вредоносное ПО.

В BleepingComputer получили копию такого электронного письма. Заголовки сообщения указывают на то, что письма являются подлинными, проходят проверку безопасности DKIM и SPF и исходят непосредственно с почтового сервера PayPal «mx15.slc.paypal.com». После тестирования различных функций выставления счетов PayPal в редакции смогли воспроизвести тот же шаблон письма, используя функцию «Подписки» и приостановив реальную подписку человека. 

Подписки PayPal — это функция выставления счетов, которая позволяет продавцам создавать варианты оплаты на определённую сумму. Когда продавец приостанавливает подписку, PayPal автоматически отправляет подписчику электронное письмо с уведомлением об этом.

Однако, когда в BleepingComputer попытались воспроизвести мошенничество, добавив в поле «URL-адрес службы поддержки» текст, отличный от него, в PayPal отклонили изменение.

Таким образом, похоже, что мошенники либо используют уязвимость в обработке метаданных подписки PayPal, либо другой метод, например, API или устаревшую платформу, недоступную во всех регионах, который позволяет хранить недопустимый текст в поле URL-адреса.

Заголовки письма показывают, что PayPal фактически отправляет письмо на адрес «receipt3@bbcpaglomoonlight.studio», который может быть связан с поддельным подписчиком. Эта учётная запись, вероятно, является списком рассылки Google Workspace, который автоматически переадресует все полученные письма остальным участникам группы — тем, на кого нацелен мошенник. Это позволяет обходить проверки SPF и DMARC, поскольку электронное письмо пересылается сервером.

ARC-Authentication-Results: i=1; mx.google.com; dkim=pass header.i=@paypal.com header.s=pp-dkim1 header.b="AvY/E1H+"; spf=pass (google.com: domain of service@paypal.com designates 173.0.84.4 as permitted sender) smtp.mailfrom=service@paypal.com; dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=paypal.com Received: from mx15.slc.paypal.com (mx15.slc.paypal.com. [173.0.84.4]) by mx.google.com with ESMTPS id a92af1059eb24-11dcb045a3csi5930706c88.202.2025.11.28.09.14.49 for (version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256); Fri, 28 Nov 2025 09:14:49 -0800 (PST)

В PayPal сообщили, что принимают меры по борьбе с методом рассылки таких писем. Затронутым пользователям рекомендуют обратиться в службу поддержки клиентов напрямую через приложение PayPal или через страницу «Контакты».

В январе исследователь рассказал, что он обнаружил необычное мошенническое письмо, которое обошло спам-фильтр Gmail и имитировало счёт PayPal. Авторы кампании отправляли себе счёт PayPal, а затем создавали электронное письмо, чтобы переслать его, используя полученный текст. Им пришлось оставить тело письма неизмененным, чтобы оно включало заголовки, подписанные PayPal.

Позднее выяснилось, что хакеры использовали уязвимость, которая позволяла им отправлять поддельное электронное письмо якобы от систем Google, проходя все проверки компании. Мошенническое сообщение приходило с «no-reply@google.com» и проходило метод аутентификации DomainKeys Identified Mail (DKIM).

Кроме того, мошенники разработали метод внедрения поддельных номеров телефонов на веб-страницы официальных сайтов Apple, PayPal, Netflix и других компаний через покупку рекламы у Google. Когда жертва кликает по рекламе, она открывает страницу на официальном сайте. При этом добавленные параметры вставляют поддельные номера телефонов на страницу.