Lažna PayPal obaveštenja navode korisnike da pozivaju prevarante

Vesti, 23.12.2025, 14:30 PM

Sajber kriminalci pronašli su način da zloupotrebe PayPal-ov sistem za naplatu pretplata kako bi slali mejlove koji izgledaju kao da dolaze direktno od PayPal-a.

Poslednjih meseci korisnici prijavljuju da dobijaju mejlove od PayPal-a sa naslovom da njihova „automatska uplata više nije aktivna“. To je poruka koju PayPal inače šalje kada je pretplata pauzirana. Na prvi pogled, mejl deluje rutinski. Problem se krije u njegovom sadržaju.

Iako poruka izgleda legitimno, poljem „URL korisničke službe“ je manipulisano tako da prikazuje lažnu potvrdu kupovine. U tekstu se navodi da je kupljen neki skupi uređaj, poput MacBook-a, iPhone-a ili Sony uređaja, uz iznose koji se najčešće kreću između 1.300 i 1.600 dolara.

U poruci se nalazi i telefonski broj uz poziv da se odmah kontaktira „PayPal podrška“ radi otkazivanja ili osporavanja transakcije.

Primer teksta koji se pojavljuje u polju URL korisničke službe glasi:

„A payment of $1346.99 has been successfully processed. For cancel and inquiries, Contact PayPal support at +1-805-500-6377.“

Najopasniji deo ove prevare je sam pošiljalac. Mejlovi se šalju sa legitimne PayPal adrese service@paypal.com i prolaze sve glavne provere autentifikacije, uključujući SPF, DKIM i DMARC. Analiza zaglavlja mejla potvrđuje da poruke dolaze direktno sa PayPal servera, zbog čega mejlovi zaobilaze bezbednosne filtere i deluju potpuno pouzdano.

Zbog toga mnogi primaoci poveruju da im je nalog kompromitovan i u panici pozivaju navedeni broj, gde prevaranti pokušavaju da dobiju od njih podatke o bankovnom računu, podatke za prijavu ili navedu žrtve da instaliraju softver za daljinski pristup. Iako telefonske prevare nisu novost, korišćenje PayPal-ove infrastrukture za slanje poruka predstavlja zabrinjavajuću eskalaciju.

Zloupotrebom funkcije Subscriptions, napadači su uspeli da reprodukuju originalni PayPal šablon poruke. Kada trgovac pauzira pretplatu, PayPal automatski šalje obaveštenje korisniku da je automatska naplata zaustavljena.

U normalnim okolnostima, PayPal dozvoljava da polje URL adrese korisničke službe sadrži isključivo važeće web adrese, dok se običan tekst odbija. To ukazuje da napadači ili koriste grešku u načinu na koji PayPal obrađuje metapodatke pretplate ili zloupotrebljavaju zastareli interfejs ili API koji omogućava ubacivanje navalidnog sadržaja.

Zaglavlja mejlova otkrivaju i kako poruke stižu do ljudi koji nikada nisu imali aktivnu pretplatu. Mejl se najpre šalje na adresu pod kontrolom napadača - najverovatnije mailing listu u okviru Google Workspace-a - a zatim se prosleđuje velikom broju žrtava.

PayPal je potvrdio da je upoznat sa problemom i da aktivno radi na njegovom rešavanju. Kompanija je poručila korisnicima da budu oprezni sa neočekivanim porukama i da, ukoliko posumnjaju na prevaru, kontaktiraju PayPal podršku isključivo putem zvanične aplikacije ili kontakt stranice.