Truffa via email sfrutta PayPal: notifiche autentiche diventano esca per frodi

Negli ultimi mesi numerosi utenti hanno segnalato di aver ricevuto email apparentemente legittime da PayPal, con mittente [email protected], che informano della disattivazione di un pagamento automatico. Il messaggio, pur provenendo realmente dai server di PayPal, è in realtà parte di una sofisticata truffa via email che sfrutta una vulnerabilità del sistema di fatturazione “Subscriptions”.

All’interno di queste comunicazioni, la sezione dedicata al campo “Customer service URL” è stata manipolata per contenere un testo che simula una conferma d’acquisto di prodotti costosi, come MacBook, iPhone o dispositivi Sony, per importi compresi tra 1.300 e 1.600 dollari. Nel testo è inoltre presente un numero di telefono, presentato come quello dell’assistenza PayPal, al quale le vittime vengono invitate a chiamare per annullare o contestare la transazione.

L’URL contraffatto riporta generalmente un messaggio come: “Un pagamento di 1.346,99 dollari è stato elaborato con successo. Per annullare o per informazioni, contatta il supporto PayPal al numero +1-805-500-6377”. Nella stringa compaiono numerosi caratteri Unicode che alterano il font o rendono parti del testo in grassetto, una tecnica nota per eludere i filtri antispam.

Poiché l’email proviene effettivamente dai server di PayPal, e supera i controlli di sicurezza DKIM e SPF, molti destinatari temono che i loro account siano stati compromessi. In realtà non si tratta di una violazione diretta degli account, bensì di un abuso del sistema di notifiche automatiche della piattaforma.

La funzione “Subscriptions” di PayPal consente ai venditori di gestire pagamenti periodici e notificare ai clienti eventuali sospensioni dell’abbonamento. Quando un merchant mette in pausa un abbonamento, PayPal invia infatti un’email automatica con il messaggio “Il tuo pagamento automatico non è più attivo”.

Normalmente, il campo “Customer service URL” consente di inserire soltanto un collegamento web. Tuttavia, nel caso di queste truffe, i criminali informatici sono riusciti a inserire testo arbitrario, incluso messaggi e numeri di telefono. Ciò suggerisce che stiano sfruttando una falla nel trattamento dei metadati delle sottoscrizioni o un metodo alternativo – forse tramite API o una versione legacy del sistema – non accessibile a tutti gli utenti.

Rimane ancora un mistero come le email vengano inviate anche a persone che non hanno sottoscritto alcuna registrazione PayPal. Le analisi dei mail header rivelano che PayPal le spedisce verso un indirizzo specifico, “[email protected]”, che sembrerebbe associato a un falso iscritto creato dallo scammer. È plausibile che tale indirizzo corrisponda a una mailing list di Google Workspace, impostata per inoltrare automaticamente tutti i messaggi ricevuti a un gruppo di destinatari, ovvero le vittime selezionate. Questo meccanismo di inoltro provocherebbe il fallimento dei controlli SPF e DMARC nei server successivi, complicando il rilevamento dello spam.

PayPal, contattata da BleepingComputer, ha confermato di essere intervenuta per mitigare il metodo utilizzato dai truffatori. In una nota, l’azienda ha dichiarato: «PayPal non tollera attività fraudolente e lavora costantemente per proteggere i propri clienti da schemi di phishing in continua evoluzione. Stiamo attivamente contrastando questa minaccia e invitiamo gli utenti a restare vigili e diffidare di messaggi inaspettati. In caso di sospetto, consigliamo di contattare direttamente il nostro Servizio Clienti tramite l’app PayPal o la pagina Contatti».

Agli utenti che ricevono messaggi simili viene quindi raccomandato di non chiamare i numeri indicati e di verificare la situazione accedendo direttamente al proprio conto PayPal, o contattando l'assistenza tecnica usando i canali ufficiali, reperibili sul sito web, invece di rispondere o cliccare sui link contenuti nell’email. Per quanto al momento gli episodi paiano essere limitati all'area statunitense, è bene tenere presente che questo genere di truffe possono accadere anche in Italia, basando la loro efficacia sulla manipolazione della fiducia e sul senso di urgenza che può scaturire dal vedersi recapitata un'email che parla di pagamenti e di cifre rilevanti.