- 詐欺師がPayPalの「サブスクリプション」機能を悪用し、正規のPayPalメールにフィッシングメッセージを紛れ込ませている
- 改ざんされたカスタマーサービスURLと転送用のGoogle Workspaceメーリングリストにより、偽通知が広範囲に拡散している
- PayPalは問題の緩和に取り組んでいるとし、予期しないサブスクリプション関連メールには注意するようユーザーに呼びかけている
詐欺師はPayPalの「サブスクリプション」機能を利用して、もっともらしいフィッシングメールを送り、ユーザーをだまして同プラットフォーム上のアカウントへのアクセス権を渡させようとしている。
サブスクリプションは、企業が定期的なスケジュールで顧客に自動課金できる機能だ。顧客は一度登録して継続支払いに同意すると、その後の決済はPayPalが自動的に処理する。
企業が誰かのサブスクリプションを終了すると、その人にはPayPalのサーバーから直接送信されるメールで通知されるため、多くのメールセキュリティスキャンを通過してしまう。
メーリングリストの悪用
では、詐欺師はこの機能をどのように悪用しているのだろうか?
BleepingComputerの説明によれば、このメールにはカスタマーサービスのURLが含まれており、犯人は何らかの方法でそれを改変してフィッシングメッセージを埋め込むことに成功したという。現時点では、彼らがどのようにそれを実現したのかは不明で、PayPalがサブスクリプションのメタデータを扱う方法の欠陥を悪用しているか、APIまたはレガシープラットフォームを利用しているのではないかと推測されている。
メッセージには、こうした詐欺でよく見られるフィッシング内容が含まれている――高額な商品を購入したと受信者に警告し、注文をキャンセルしたい場合は、メッセージに記載された電話番号にPayPalへ電話するよう促すのだ。
しかし、これでは、特定の事業者に一度も登録していない被害者が、なぜこのメッセージを受け取ったのかという疑問は解決しない。
どうやら、元のメールは「[email protected]」という1つのアドレスにのみ送信される。研究者らは、これはGoogle Workspaceのメーリングリストであり、メールを自動的に他のグループメンバー全員へ転送していると考えている。この場合、そのメンバーが被害者というわけだ。
「この転送により、メールが元の送信者ではないサーバーによって転送されるため、その後のSPFおよびDMARCチェックがすべて失敗する可能性がある」と同媒体は記している。
PayPalにはこの悪用が報告されており、同社は現在修正に取り組んでいると認めた。
「PayPalは不正行為を容認せず、絶えず進化するフィッシング詐欺からお客様を守るために懸命に取り組んでいます」とPayPalはBleepingComputerに語った。
「私たちはこの問題の緩和に積極的に取り組んでおり、常にオンライン上で警戒し、予期しないメッセージには注意を払うよう皆さまに呼びかけます。お客様が詐欺の標的になっている疑いがある場合は、PayPalアプリまたは当社の問い合わせページから、カスタマーサポートへ直接ご連絡いただくことを推奨します。支援いたします。」
