Un'e-mail, apparentemente autentica, inviata da un indirizzo ufficiale appartenente a PayPal – service@paypal.com – e recapitata dai suoi server, è l'innesco di una nuova sofisticata truffa che sfrutta alcuni meccanismi tecnici del colosso dei pagamenti digitali. Il messaggio inviato all'utente asserisce che un “pagamento automatico non è più attivo” e, allo stesso tempo, suggerisce che dal suo account sia stato effettuato l'acquisto di un prodotto costoso, come uno smartphone o un computer, per una cifra elevata. L'obiettivo per cui i criminali informatici inviano questo messaggio è indurre l’utente a contattare un numero di telefono che si spaccia per l'assistenza PayPal. Da lì può procedere una frode più complessa, basata sull'ingegneria sociale, cioè sull'uso della manipolazione psicologica per spingere l'utente a compiere inconsapevolmente azioni contro il suo stesso interesse. In questo approfondimento analizziamo come sia possibile che un'e-mail truffaldina risulti tecnicamente legittima, perché i filtri antispam non la intercettano, quale funzione di PayPal viene abusata e, soprattutto, quali verifiche concrete bisogna fare per capire se il proprio account è davvero a rischio o se si è di fronte a un raggiro ben congegnato.
Come funziona la nuova truffa della mail PayPal
Il cuore della truffa risiede nella funzione “Abbonamenti” di PayPal, uno strumento pensato per consentire ai commercianti di gestire pagamenti ricorrenti. Quando un abbonamento viene sospeso, PayPal invia automaticamente un'e-mail all'abbonato per informarlo che il pagamento automatico è stato disattivato. I truffatori sfruttano questo flusso legittimo creando un falso abbonamento e intervenendo su un campo specifico, quello dell'URL del servizio clienti, che normalmente dovrebbe contenere solo un indirizzo Web. Invece di limitarsi a un link, questo campo viene alterato per includere testo aggiuntivo: un presunto acquisto, un importo molto alto e un numero di telefono da chiamare per “annullare” o “contestare” il pagamento. L'uso di caratteri Unicode, cioè simboli che permettono di visualizzare lettere in forme insolite o in grassetto, serve a rendere il messaggio più credibile e a eludere i controlli automatici basati su parole chiave.
Il risultato è un'e-mail che arriva davvero dall'indirizzo service@paypal.com e che supera i principali controlli di sicurezza come SPF (questo controllo verifica che il server mittente sia autorizzato), DKIM (verifica che serve a garantire che il contenuto non sia stato modificato durante il trasporto) e DMARC (che coordina queste verifiche per ridurre lo spoofing, cioè la falsificazione del mittente). Poiché l'e-mail viene effettivamente originata dall'infrastruttura PayPal, tutti questi controlli risultano validi e i client di posta non hanno motivo di per segnalarla come spam.
Resta però una domanda cruciale: perché l'e-mail arriva a persone che non si sono mai iscritte a quell’abbonamento? L'analisi delle intestazioni mostra che il destinatario iniziale è un indirizzo riconducibile a una mailing list, probabilmente creata con Google Workspace. Una mailing list funziona come un gruppo: ogni messaggio inviato all'indirizzo del gruppo viene automaticamente inoltrato a tutti i membri che ne fanno parte. In questo modo, l'e-mail legittima inviata da PayPal a un falso abbonato viene redistribuita a una lista di potenziali vittime.
Lo scopo finale è indurre poi l'utente a chiamare il numero indicato nel messaggio. Al telefono, i truffatori possono tentare di convincere l'utente a fornire dati sensibili, come le credenziali di accesso, oppure a installare malware accampando scuse più o meno credibili. È una tecnica già vista in passato, che in questo caso è stata perfezionata e resa più efficace dal fatto che il punto di partenza è una comunicazione tecnicamente autentica.
Come difendersi dalla nuova truffa della mail PayPal
Dal punto di vista pratico, come difendersi dalla nuova truffa della mail PayPal? La difesa più efficace è quella di non interagire con i contatti presenti nell'e-mail. Se ricevete un messaggio che parla di pagamenti automatici disattivati e di acquisti che non riconoscete, non fatevi prendere dal panico chiamando i numeri di telefono indicati e non cliccate su alcun link. La verifica corretta consiste nell'accedere direttamente al vostro account PayPal digitando l'indirizzo https://www.paypal.com/it/home nel browser oppure usando l'app ufficiale di PayPal e controllando poi la cronologia delle transazioni. Se non ci sono addebiti anomali a vostro danno, l'e-mail può essere tranquillamente ignorata.
Nel frattempo, PayPal ha dichiarato a BleepingComputer di essere al lavoro per mitigare questa specifica modalità di abuso e ribadisce che, in caso di dubbi, l'unico canale affidabile è l'assistenza raggiungibile dall'app o dalla pagina ufficiale dei contatti:
PayPal non tollera attività fraudolente e lavoriamo duramente per proteggere i nostri clienti da truffe di phishing in continua evoluzione. Stiamo attivamente mitigando questa questione e incoraggiamo le persone a essere sempre vigili online e consapevoli dei messaggi inaspettati. Se i clienti sospettano di essere bersaglio di una truffa, consigliamo loro di contattare direttamente l'assistenza clienti tramite l'app PayPal o la nostra pagina Contatti per ricevere assistenza.
;Resize,width=767;)
;Resize,width=727;)
;Resize,width=727;)
