Новый фишинг PayPal: как он работает и как защититься

Быстрые ссылки

• Как начался этот обман?

• Как работает схема

• Чем этот фишинг отличается от обычного

• Что происходит, если вы позвоните по номеру

• Как защитить себя

Как начался этот обман

PayPal внедрил функцию «адреса для подарков» (gift address), чтобы упростить доставку на несколько адресов без постоянного изменения основного адреса. Это удобная опция для тех, кто часто отправляет подарки или хочет, чтобы покупки доставляли на временный адрес.

К сожалению, злоумышленники обнаружили, что можно использовать механизм автоматических подтверждений PayPal. Когда в аккаунте добавляют новый адрес, система автоматически отправляет письмо владельцу. Мошенникам достаточно добавить адрес в контролируемый ими аккаунт и настроить переадресацию письма на большую рассылку или на списки Microsoft 365, чтобы такие уведомления попали к тысячам потенциальных жертв.

В поле «адрес для подарков» злоумышленник часто оставляет заметку вроде «Куплен MacBook / PlayStation — подтвердите» и подставляет «служебный» номер телефона. Письмо приходит с настоящего домена PayPal — service@paypal.com — и выглядит полностью легитимным. Когда жертва видит сообщение о дорогой покупке, она пугается и часто звонит по указанному номеру.

Как работает схема

1. Злоумышленник использует собственный или взломанный аккаунт PayPal.
2. В аккаунт добавляют новый «адрес для подарков» и оставляют в примечании поддельную информацию о покупке и номер телефона.
3. Автоматическое письмо подтверждения отправляется с легитимного домена PayPal.
4. Этот исходный адрес письма переадресуют на управляемый злоумышленником почтовый ящик, далее на массовый список рассылки (например, Microsoft 365 distribution list).
5. Тысячи получателей получают реальное письмо от service@paypal.com с поддельным номером технической поддержки и тревожным текстом о крупной покупке.
6. Испуганные получатели звонят. Мошенники убеждают установить ПО для удалённого доступа (например, AnyDesk, TeamViewer, ConnectWise) и получают весь контроль над компьютером.

Important: Письмо действительно отправлено с домена PayPal, поэтому фильтры спама и простая проверка отправителя могут не сработать.

Чем этот фишинг отличается от обычного

Обычно фишинг полагается на подделку адреса отправителя или на домены-имитаторы (например, paypall.com). Почтовые фильтры обучены распознавать такие подделки. В этой схеме письмо генерируется системой PayPal и отправляется с настоящего адреса — поэтому оно проходит проверки и вводит получателя в заблуждение.

Ключевой элемент — межсистемная переадресация и массовая рассылка. Мошенники комбинируют легитимность отправителя и социальную инженерию (страх и срочность), чтобы заставить жертву действовать быстро.

Что происходит, если вы позвоните по номеру

Типичная последовательность действий мошенников:

• Оператор (мошенник) представляется сотрудником PayPal и создаёт ощущение официальности.
• Сообщает, что ваш аккаунт взломан, и просит срочно подтвердить личность.
• Просит установить и запустить ПО для удалённого доступа. Часто это легитимные инструменты удалённого управления, которых реально используют администраторы (AnyDesk, TeamViewer, ConnectWise).
• После установки вы предоставляете доступ: мошенники просматривают экран, считывают вводимые пароли и получают доступ к аккаунтам и банковским данным.
• Они меняют настройки аккаунта, добавляют новые способы оплаты, получают доступ к сохранённым паролям и могут установить постоянное ПО-шпион для дальнейшего контроля.

Некоторые пострадавшие сообщали, что мошенники наблюдали за вводом паролей в реальном времени и сразу же захватывали аккаунты.

Important: Ни одна легитимная служба поддержки не будет требовать установки ПО для удалённого доступа, чтобы «подтвердить покупку» или «защитить аккаунт» без дополнительной проверки.

Как защитить себя — пошаговое руководство (для обычных пользователей)

1. Останьтесь спокойны. Снижение паники — лучший способ принять верное решение.
2. Не звоните по номеру из письма. Никогда.
3. Откройте браузер, наберите вручную https://www.paypal.com, войдите в аккаунт и проверьте «Последнюю активность». Не переходите по ссылкам в письме.
4. Проверьте раздел с адресами доставки и настройками учётной записи. Если ничего нового не добавлено — письмо фейковое.
5. Включите двухфакторную аутентификацию (2FA) в настройках PayPal.
6. Немедленно смените пароль, если вы уже вводили данные по просьбе неизвестного.
7. Сообщите о письме в PayPal: пересылайте подозрительные сообщения на phishing@paypal.com, затем удалите письмо.
8. Если вы установили удалённый доступ, немедленно отключите компьютер от сети, включите антивирус и обратитесь к специалисту.

Рекомендации для владельцев бизнеса и администраторов IT

• Настройте политические правила почты: ограничьте авто-перенаправления на внешние адреса и списки рассылки.
• Контролируйте разрешения на создание distribution lists в Microsoft 365 и других системах.
• Настройте правила DLP (Data Loss Prevention) и мониторинг подозрительных массивных пересылок писем.
• Обучите сотрудников распознавать фишинг и проводить проверки «вручную» на веб-сайте провайдера.
• Внедрите принцип минимального права доступа: не все сотрудники должны иметь возможность добавлять внешние email-адреса или создавать пересылки.

Playbook для инцидента (короткая пошаговая инструкция для команд реагирования)

1. Идентифицировать: соберите все образцы писем и логов переадресации.
2. Изолировать: отключите переадресование на скомпрометированных аккаунтах и отмените массовые списки.
3. Уведомить: оповестите всех сотрудников и клиентов о мошеннической рассылке с рекомендацией не звонить по номеру.
4. Восстановить: убедитесь, что скомпрометированные учётные записи восстановлены, пароли изменены, включена 2FA.
5. Разобраться: проведите аудит почтовых правил и исправьте уязвимые настройки.
6. Закрыть: сообщите в PayPal и в CSIRT/инфраструктурную команду о принятых мерах.

Критерии приёмки:

• Переадресация отключена и подтверждена.
• Скомпрометированные учётные записи восстановлены и защищены 2FA.
• Руководство и уведомления разосланы сотрудникам.
• Проведён технический аудит почтовой инфраструктуры.

Чеклисты по ролям

Для обычных пользователей:

• Не звонить по номеру в письме
• Зайти на paypal.com вручную и проверить активность
• Включить 2FA
• Переслать подозрение в phishing@paypal.com

Для IT-администратора:

• Проверить правила пересылки и distribution lists
• Отключить внешние авто-перенаправления
• Включить логирование и оповещения по массовым рассылкам
• Провести аудит прав на создание списков

Для службы поддержки компании:

• Подготовить скрипт ответа клиентам
• Разослать информативное письмо сотрудникам и клиентам
• Проводить обучение по сценарию социальной инженерии

Ментальные модели и эвристики при оценке писем

• Адрес отправителя не всегда гарант достоверности: проверьте действия через официальный сайт.
• Срочность + страх = манипуляция. Если письмо давит на эмоции — остановитесь и проверьте.
• Номер телефона в теле письма — тревожный сигнал. Проверьте контакт через сайт компании.
• Любая просьба установить ПО для доступа к вашему устройству — потенциально критическая угроза.

Когда эта схема не сработает (контрпримеры)

• Если у вас включена строгая политика запрещающая внешнюю переадресацию — массовая рассылка не дойдёт.
• Если вы всегда проверяете транзакции через сайт PayPal и не используете телефонную поддержку — вы избежите контакта с мошенниками.
• Если компания использует защиту почтового домена (DMARC, SPF, DKIM) с жёсткой политикой и мониторингом переадресаций — атака сложнее реализуема.

Меры жёсткой защиты и рекомендации по безопасности

• Включите DMARC с политикой reject и мониторьте отчёты. Это не останавливает злоумышленников, использующих легитимные системные письма, но снижает риски подделки.
• Отключите автоматические переадресации на внешние домены, если это не критично для бизнеса.
• Настройте alerting на массовые рассылки и подозрительные шаблоны содержания (ключевые слова «подарок», «куплен», «подтвердите»).
• Применяйте сегментацию сети и политики, которые запрещают доступ к критичным системам с незнакомых устройств.

Процедура при подтверждённом компромиссе (если вы дали доступ мошенникам)

1. Немедленно отключите устройство от интернета.
2. Смените пароли с доверимого устройства и включите 2FA.
3. Просканируйте систему на наличие вредоносного ПО и, при необходимости, переустановите ОС.
4. Свяжитесь с банком и заблокируйте карты, если были операции.
5. Сообщите о мошенничестве в PayPal и в локальные правоохранительные органы.

Факт-бокс: что важно знать

• Письма приходят с легитимного адреса service@paypal.com.
• Главная цель мошенников — получить доступ к компьютеру через ПО для удалённого доступа.
• Наличие номера в письме — почти всегда социальная инженерия.
• Основная защита — не звонить и проверять аккаунт через официальный сайт.

Шаблоны: как сообщить в PayPal и коллеге (пример письма)

Тема: Подозрительное письмо от service@paypal.com

Текст:

Здравствуйте,

Я получил(а) письмо от service@paypal.com с уведомлением о добавлении нового адреса и подозрительным номером телефона. Я не делал(а) этой операции. Прошу вас проверить активность по аккаунту и подсказать дальнейшие шаги.

С уважением, [Ваше имя]

FAQ

Вопрос: Если письмо пришло с service@paypal.com, могу ли я считать его безопасным?

Нет. В этой схеме письма действительно отправляются с легитимного домена PayPal. Всегда проверяйте активность через сайт PayPal и не пользуйтесь контактами из письма.

Вопрос: Может ли PayPal сам попросить установить ПО удалённого доступа?

Нет. PayPal не будет требовать установки ПО удалённого доступа для подтверждения покупки или восстановления аккаунта.

Вопрос: Я установил(а) AnyDesk по просьбе «сотрудника PayPal». Что делать?

Отключите компьютер от интернета, смените пароли с чистого устройства, сообщите в PayPal и в банк, проверьте систему на вредоносное ПО и обратитесь к специалистам.

Этот фишинг — один из самых изобретательных на данный момент. Он использует силу легитимных уведомлений PayPal и страх пользователей. Помните: письмо может быть реальным, телефон внутри — нет. Всегда проверяйте подозрительные уведомления напрямую на сайте провайдера.

Глоссарий (одно предложение на термин)

• Фишинг: попытка обмана для получения конфиденциальных данных через поддельные сообщения.
• 2FA (двухфакторная аутентификация): дополнительный уровень защиты, требующий второй подтверждающий фактор.
• Автопереадресация: правило почты, автоматически пересылающее входящие сообщения на другой адрес.
• ПО удалённого доступа: программы, позволяющие управлять устройством удалённо (AnyDesk, TeamViewer и т.д.).

Краткое резюме

• Не звоните по номерам из неожиданных писем. Проверяйте активность через сайт PayPal.
• Включите 2FA и частую смену паролей.
• Отключите или контролируйте автоматические переадресации в почтовых системах.
• При подозрениях пересылайте письмо в phishing@paypal.com и следуйте процедурам инцидента.

Социальная превью-версия (100–200 слов)

Мошенники нашли способ злоупотреблять легитимной системой уведомлений PayPal: при добавлении «адреса для подарков» PayPal автоматически отправляет подтверждение — и злоумышленники используют это письмо, чтобы рассылаь тревожные уведомления с поддельными номерами поддержки. Жертвы, испугавшись несанкционированной покупки, звонят по этому номеру и часто устанавливают ПО для удалённого доступа, позволяющее мошенникам полностью захватить систему. Чтобы защититься: не звоните по указанному номеру, заходите на paypal.com вручную, включайте двухфакторную аутентификацию и пересылайте подозрительные письма в phishing@paypal.com. Администраторам IT рекомендуется отключить внешние авто-перенаправления и настроить оповещения о массовых пересылках.