Estafa de Phishing de PayPal Explota la Función de "Nueva Dirección"

Los estafadores están explotando la configuración de direcciones de PayPal para enviar correos electrónicos de phishing que parecen legítimos, engañando a los usuarios haciéndoles creer que sus cuentas han sido comprometidas.

Según un nuevo informe de BleepingComputer, los usuarios han estado quejándose durante más de un mes de recibir correos electrónicos de PayPal confirmando una nueva dirección de envío añadida.

“Has añadido una nueva dirección. Esta es solo una rápida confirmación de que has añadido una dirección en tu cuenta de PayPal,” dice el correo electrónico de la estafa.

Estos mensajes, enviados desde la dirección oficial de PayPal, “ [email protected] “, afirman que una compra de MacBook M4 ha sido vinculada a la cuenta del destinatario y les piden que llamen a un número de soporte si no autorizaron la transacción.

“Confirmación: Tu dirección de envío para el MacBook M4 Max 1 TB ($1098.95) ha sido cambiada. Si no autorizaste esta actualización, por favor contacta a PayPal al +1-888-668-2508′,” añade además.

A pesar de su apariencia, estos correos electrónicos son fraudulentos. Muchos destinatarios, incluidos aquellos sin cuentas de PayPal, han confirmado que no se añadieron direcciones.

Los estafadores aprovechan la infraestructura de correo electrónico legítima de PayPal (“ [email protected] “), permitiendo que estos mensajes eviten los filtros de seguridad y spam. No solo esto, causa que las personas se preocupen de que su cuenta haya sido hackeada. **

Cómo Funciona la Estafa

Los correos electrónicos están diseñados para engañar a los destinatarios haciéndoles pensar que su cuenta de PayPal fue hackeada para realizar una compra de MacBook, presionándolos para que contacten un número de “soporte de PayPal” de los estafadores.

Cuando una víctima llama al número de soporte falso, escucha un mensaje automatizado que dice ser el servicio al cliente de PayPal y se le pide que espere mientras una persona de soporte se hace disponible. La llamada luego conecta al destinatario con un supuesto representante de “soporte al cliente”.

El estafador intenta asustar a la víctima haciéndole creer que su cuenta ha sido hackeada y la persuade para que descargue software de acceso remoto para asegurar sus cuentas y prevenir la supuesta transacción.

Si se instala, el software otorga a los estafadores control sobre el dispositivo de la víctima, lo que puede llevar a robos financieros, violaciones de datos o infecciones de malware.

Según BleepingComputer, que probó el esquema de la estafa, explota la función de “dirección de regalo” de PayPal, que permite a los usuarios añadir direcciones secundarias a sus cuentas.

Los estafadores insertan su mensaje de phishing en el campo de dirección, activando el sistema de PayPal para enviar un correo electrónico de confirmación que contiene los detalles de la compra fraudulenta. Luego utilizan un truco de lista de correo para distribuir el mensaje a numerosos objetivos.

Cómo Protegerte

Si recibes un correo electrónico legítimo de PayPal sobre un cambio de dirección no autorizado con una confirmación de compra sospechosa, no contactes al número listado.

En su lugar, inicia sesión en tu cuenta de PayPal directamente para verificar cualquier cambio. Si todo parece normal, ignora y elimina el correo electrónico.

Tales estafas en PayPal son posibles, ya que no hay restricción en el número de caracteres que se pueden añadir a los campos del formulario de dirección.

Para solucionar esto, PayPal debe implementar límites de caracteres más estrictos en los campos de dirección para prevenir que actores maliciosos inyecten mensajes engañosos de estafa.

PayPal aún no ha comentado sobre el informe.