Мошенничество PayPal — Bitcoin: как распознать

Реклама Total AV — значок антивируса и текст о защите

Total AV поставляется со всеми инструментами безопасности, которые могут понадобиться для защиты данных и приватности, включая:

проверку загрузок, установок и исполняемых файлов на предмет вирусов и угроз;
блокировку нежелательной рекламы и планирование умных сканирований;
шифрование соединения на Windows, Mac, iOS и Android.

Не пропустите текущие скидки!

Получите TOTAL AV сегодня!

Мошенники сейчас активнее, чем когда-либо. Они пытаются любыми способами заставить людей выдать личные данные или заплатить деньги.

Даже когда рынок Bitcoin не на пике, мошенникам это не мешает. В сети появляются сообщения от пользователей о ложных письмах от PayPal со ссылкой на покупку Bitcoin и списанием средств. Врaдe как правило в таких письмах содержится ссылка или вложение: при их открытии на компьютер может попасть вредоносное ПО, которое шифрует файлы и требует выкуп.

В этой подробной инструкции мы разберём, как выглядят подобные мошеннические письма, как их обнаружить, и какие шаги нужно предпринять, если вы уже взаимодействовали с таким письмом.

Что такое мошенничество «PayPal — Bitcoin»?

Пример поддельного письма с деталями заказа Bitcoin

Пользователи сообщают, что в их почтовые ящики приходят письма с темой вроде номера счета или «Invoice», в теле — фальшивый счёт за покупку Bitcoin и инструкции проверить детали по ссылке или вложению. Формат может меняться, но цель одна: заставить вас открыть ссылку, скачать файл или связаться с «поддержкой» мошенников.

В письме часто присутствует псевдо-счёт со статусом «Order Placed» и суммой в долларах. Иногда злоумышленники просят связаться по указанному телефону, где «оператор» просит установить ПО для удалённого доступа. После установки мошенники получают доступ к компьютеру, шифруют файлы и требуют выкуп.

Пример типичного фейкового текста, который встречается в сообщениях:

Thank You for choosing Paypal for placing your Order BITCOIN.
Your order has been successfully placed.
The Payment will be shown soon within the next 5 to 10 hours on PAYPAL
PRODUCT INFORMATION
Memo Id: CAFV365BNA
Item Name: BITCOIN (BTC)
Order Placed Date: 28th JAN 2021
Receiving Date: Day After Place The Order.
Price: 457.25 USD
Charge Mode: PAYPAL*
If you Wish to Cancel then please feel free to contact our Billing Department as soon as possible.

После контакта с «службой поддержки» мошенники просят установить ПО для удалённого доступа. Это даёт им полный контроль над вашим устройством.

Быстрая подсказка: ESET HOME Security Essential и некоторые другие антипхишинговые решения умеют выявлять подобные рассылки на уровне почты. Они помогают блокировать фишинговые ссылки и вредоносные вложения.

Как распознать поддельное письмо от имени PayPal

Разберём ключевые признаки фейковых писем. Если видите один или несколько пунктов — будьте осторожны.

1. Безличные обращения

Иллюстрация безличного приветствия в письме

Фальшивые письма часто используют общие обращения — «Dear user», «Hello», «PayPal member» и т. п. Реальные сообщения от PayPal обычно обращаются по полному имени, которое указано в вашем аккаунте. Если письмо не использует ваше имя — это тревожный знак.

2. Письмо содержит вложение

Официальные уведомления от PayPal редко требуют дополнительных файлов. Если в письме есть вложение и вы не ожидаете его — не открывайте. Вложение может содержать эксплойт или программу-шантажист (ransomware).

3. Поддельная ссылка (URL)

Пример спорной ссылки в письме

Мошенники вставляют ссылки, которые выглядят правдоподобно. Наведите курсор мыши на ссылку (без клика) и посмотрите адрес в подсказке. Если адрес отличается от official.paypal.com или paypal.com с подозрительными поддоменами/символами — не открывайте.

Примеры признаков поддельного URL:

замена букв (paypal → paypa1, paypаl с кириллицей);
длинные адреса с добавочными директорией или параметрами, которые не соответствуют действительным страницам PayPal;
домены, связанные с бесплатными хостингами или неизвестными регистраторами.

4. Просьба предоставить конфиденциальную информацию

Если письмо запрашивает номер карты, CVC, пароль или код двухфакторной аутентификации — это мошенничество. PayPal не запрашивает такие данные по электронной почте.

5. Орфография и стиль

Опечатки, грубые ошибки и нестандартный стиль письма — частый признак фишинга. Официальные рассылки проходят проверку качества и располагают корректными формулировками.

Что делать, если пришло подозрительное письмо — пошагово

Ниже — подробная инструкция действий, которую можно применять как пользователю, так и сотруднику службы поддержки.

Шаг A. Не взаимодействуйте с вложениями и ссылками

Не открывайте вложения.
Не нажимайте на ссылки.
Не перезванивайте по номерам из письма.

Шаг B. Перешлите письмо в PayPal

Перешлите оригинальное письмо целиком на [email protected].
Не изменяйте тему, тело сообщения и вложения.
После пересылки удалите письмо из папки входящих и из папки «Удалённые».

Это поможет PayPal отследить источник рассылки и при необходимости принять меры.

Шаг C. Проверьте аккаунт напрямую

Откройте браузер и вручную введите paypal.com.
Войдите в свой аккаунт и проверьте историю транзакций.
Если есть несанкционированные операции — немедленно заявите о спорных платежах в PayPal и в банк.

Шаг D. Запустите полное сканирование устройства

Иллюстрация антивирусного сканирования

Если вы каким-либо образом взаимодействовали с вложением или ссылкой, выполните полное сканирование антивирусом. Обновите базы сигнатур и выполните глубокое сканирование. При выявлении угроз — следуйте рекомендациям антивируса.

Шаг E. Смените пароли и проверьте 2FA

Смените пароль PayPal и почты, если были риски компрометации.
Включите двухфакторную аутентификацию (2FA) везде, где возможно.
Проверьте сохранённые способы оплаты и удалите неизвестные карты.

Шаг F. Свяжитесь с банком и старшим ИТ

Если с карты или счёта были списания — сообщите в банк как можно скорее. В корпоративной среде уведомите IT-отдел и команду по инцидентам безопасности.

Стандартная операционная процедура (SOP) для пользователя

Не открывайте письмо.
Сфотографируйте/сделайте скриншот письма (для отчёта).
Перешлите письмо на [email protected].
Удалите письмо и очистите корзину.
Войдите в PayPal вручную и проверьте транзакции.
При любом подозрительном платеже свяжитесь с банком.

Инцидентный план и откат для заражённого ПК (Runbook)

Немедленно отключите компьютер от сети (Wi‑Fi и проводной).
Изолируйте устройство — не подключайте внешние носители.
Если есть бэкапы — подготовьте носитель с резервной копией.
Запустите антивирус с флешки в безопасном режиме или с загрузочного носителя.
В случае обнаружения шифровальщика: обратитесь в ИТ/инцидентную команду;
- не платите выкуп, если только организация не приняла решение и изучила риски;
- восстановление из надёжных резервных копий — предпочтительный путь.
После очистки измените все пароли и восстановите доступы по проверенному каналу.

Important: оплата выкупа не гарантирует возврат данных и стимулирует дальнейшие атаки.

Чек‑лист для ролей

Пользователь — быстрое действие:

Не открывать вложения.
Переслать письмо в PayPal.
Проверить историю транзакций вручную.
Просканировать устройство антивирусом.
Сменить пароли при необходимости.

ИТ‑администратор — эскалация:

Изолировать устройство в сети.
Собрать артефакты (оригинальное письмо, заголовки, IP-адреса).
Запустить тщательное мошенничество-расследование (IOC, EDR).
Проверить журнал DLP и внешние подключения.
Восстановить систему из проверенных резервных копий.

Служба поддержки/менеджер по безопасности — коммуникация:

Подготовить шаблон уведомления сотрудникам.
Сообщить пользователям о принятых мерах.
Обновить внутренние инструкции по реагированию.

Шаблоны: как переслать и что написать в отчёте

Текст для пересылки в PayPal (используйте как есть при пересылке на [email protected]):

Subject: Suspicious email reporting — possible PayPal phishing

Body: I received the following email that appears to be a phishing attempt. I have not clicked any links or opened attachments. Original message attached. Please advise.

Шаблон отчёта внутри компании:

Время получения:
От кого (адрес отправителя):
Тема письма:
Действия (открыто вложение/кликнул ссылку/переслал в PayPal):
Номер устройства и владелец:
Скриншоты/логи: прикреплены

Когда этот метод обнаружения может не сработать

Письмо грамотно локализовано и содержит ваше имя — тогда без тщательной проверки может показаться легитимным.
Если злоумышленник скомпрометировал реальную почту PayPal (крайне редко), письма будут ещё правдоподобнее.
Некоторые вредоносные вложения маскируются как PDF/скриншоты и активируются только при определённых условиях.

Если вы сомневаетесь — действуйте по принципу «не доверяй — проверь». Войдите в PayPal вручную и проверьте, есть ли запись о транзакции.

Модель принятия решения (упрощённая)

flowchart TD
  A[Получено письмо с оплатой Bitcoin] --> B{Есть ли ваше полное имя в обращении?}
  B -- Нет --> C[Мошенничество: не открывать, переслать в PayPal, удалить]
  B -- Да --> D{Содержит ли письмо вложение или ссылку?}
  D -- Да --> E[Не открывать, переслать в PayPal, проверить аккаунт вручную]
  D -- Нет --> F{Запрашивает ли личные данные?}
  F -- Да --> E
  F -- Нет --> G[Проверить URL при наведении; если сомнения — повторить E]

Безопасность и жёсткие рекомендации

Включите двухфакторную аутентификацию на аккаунтах.
Используйте менеджер паролей и уникальные пароли.
Регулярно делайте резервные копии важных данных и проверяйте их целостность.
Обучайте сотрудников распознавать фишинг: имейте план реагирования и контактные точки.

Меры жёсткой защиты для организаций

Развёртывание EDR/NGAV и фильтрация почты на шлюзе (квары/ATP).
Ограничение прав пользователей: запрет установки ПО без согласования.
Политики блокировки выполнения из временных каталогов и почтовых вложений.
Регулярные тренировки по реагированию на фишинг и тестовые фишинговые рассылки.

Что делать, если вы уже перевели деньги или данные похищены

Немедленно обратитесь в банк и опишите несанкционированную операцию.
Сообщите в PayPal через официальный сайт.
Сохраните все доказательства (скриншоты, письма, номера транзакций).
По возможности обратитесь в полицию и регулятора по защите прав потребителей.

Часто задаваемые вопросы

Это действительно похоже на PayPal. Как быстро понять наверняка?

Проверьте письмо на личное обращение, хост домена при наведении, орфографию и запрос конфиденциальных данных. Если остаются сомнения — войдите в PayPal вручную.

Стоит ли платить выкуп, если файлы зашифрованы?

Эксперты советуют не платить выкуп. Оплата не гарантирует расшифровку и поощряет преступников. Предпочтительнее восстановление из бэкапов.

Куда пересылать фишинговые письма от PayPal?

Перешлите оригинал (без изменений) на [email protected].

Что делать, если номер из письма доступен и человек просит установить ПО?

Никогда не устанавливайте ПО по просьбе из подозрительного письма. Это самый распространённый способ получить удалённый доступ.

Ключевые выводы

Мошенники используют фейковые письма от имени PayPal, чтобы распространить вредоносное ПО и получать деньги.
Не открывайте вложения и не переходите по ссылкам — сначала проверьте аккаунт вручную.
Пересылайте подозрительные письма в PayPal, сканируйте устройства и при необходимости уведомляйте банк и ИТ.

Если эта статья была полезна — напишите в комментариях, приходили ли вам такие письма и как вы с ними справлялись.

Примечание: инструкции в статье носят общий характер. В корпоративной среде следуйте внутренним процедурам и политике безопасности.

Мошенничество «PayPal — Bitcoin»: как распознать и защититься