PayPalフィッシング詐欺が「新しい住所」機能を悪用

詐欺師はPayPalの住所設定を悪用して、正当なように見えるフィッシングメールを送信し、ユーザーを騙してアカウントが侵害されたと思わせています。

BleepingComputerの新しい報告によると、ユーザーは新しく追加された配送先住所を確認するPayPalからのメールを1ヶ月以上受け取っていると不満を述べています。

「新しい住所を追加しました。これはあなたのPayPalアカウントに住所が追加されたことを確認するための簡単な確認です。」と詐欺メールには書かれています。

これらのメッセージは、PayPalの公式アドレス「 [email protected] 」から送信され、受取人のアカウントにMacBook M4の購入が関連付けられたと主張し、取引を承認していない場合はサポート番号に電話するように求めています。

「確認: あなたのMacBook M4 Max 1 TB ($1098.95) の配送先住所が変更されました。この更新を承認していない場合は、+1-888-668-2508のPayPalに連絡してください。」とさらに追加されています。

見た目に反して、これらのメールは詐欺です。PayPalアカウントを持たない人を含む多くの受取人が、実際に住所が追加されていないことを確認しています。

詐欺師はPayPalの正当なメールインフラ（「 [email protected] 」）を利用しており、これによりこれらのメッセージはセキュリティやスパムフィルターを回避します。これにより、人々は自分のアカウントがハッキングされたのではないかと心配することになります。**

詐欺の仕組み

メールは、受取人に自分のPayPalアカウントがハッキングされてMacBookを購入したと思わせるように設計されており、詐欺師の「PayPalサポート」番号に連絡するように圧力をかけます。

被害者が偽のサポート番号に電話すると、PayPalカスタマーサービスを名乗る自動メッセージが流れ、サポート担当者が利用可能になるまで待つように求められます。その後、受取人は「カスタマーサポート」担当者に接続されます。

詐欺師は被害者を脅かしてアカウントがハッキングされたと信じ込ませ、アカウントを保護し、取引を防ぐためにリモートアクセスソフトウェアをダウンロードするように説得します。

インストールされると、そのソフトウェアは詐欺師に被害者のデバイスへの制御を与え、財務の盗難、データ漏洩、またはマルウェア感染につながる可能性があります。

BleepingComputerによると、この詐欺の仕組みは、ユーザーがアカウントに二次住所を追加できるPayPalの「ギフト住所」機能を悪用しています。

詐欺師は住所フィールドにフィッシングメッセージを挿入し、PayPalのシステムが詐欺的な購入詳細を含む確認メールを送信するようにトリガーします。その後、彼らはメールリストのトリックを使用してメッセージを多数のターゲットに配布します。

自分を守る方法

無断の住所変更に関する正当なPayPalからのメールを受け取った場合、記載された番号に連絡しないでください。

代わりに、直接PayPalアカウントにログインして、変更があるかどうかを確認してください。すべてが正常に見える場合は、メールを無視して削除してください。

このような詐欺がPayPalで可能なのは、住所フォームフィールドに追加できる文字数に制限がないためです。

これを修正するために、PayPalは住所フィールドに対してより厳しい文字制限を実施し、脅威のある行為者が欺瞞的な詐欺メッセージを挿入するのを防ぐ必要があります。

PayPalはまだこの報告についてコメントしていません。