Una estafa de correo electrónico es abusar de la función de facturación «Suscripciones» de PayPal para enviar correos legítimos de PayPal que contienen notificaciones falsas de compra incrustadas en el campo de la URL de atención al cliente.
En los últimos meses, personas han informado de haber recibido correos electrónicos de PayPal que afirman: «Tu pago automático ya no está activo.»
El correo incluye un campo de URL de atención al cliente que fue modificado de alguna manera para incluir un mensaje que indica que compraste un artículo caro, como un dispositivo Sony, MacBook o iPhone.
Este texto incluye un nombre de dominio, un mensaje que indica que se ha procesado un pago de 1.300 a 1.600 dólares (la cantidad varía según el correo electrónico), y un número de teléfono para cancelar o disputar el pago. El texto está lleno de caracteres Unicode que hacen que algunas partes parezcan en negrita o con una fuente inusual, una táctica utilizada para intentar evadir filtros de spam y detección de palabras clave.
«http://[dominio] [dominio] Se ha procesado con éxito un pago de $1346.99. Para cancelaciones y consultas, contacta con el soporte de PayPal en +1-805-500-6377», dice la URL del servicio de atención al cliente en el correo electrónico de estafa.
Cómo proteger tus datos en Instagram y evitar que te hackeen
Aunque esto es claramente una estafa, los correos electrónicos los envían directamente PayPal desde la dirección «service@paypal.com», lo que hace que la gente tema que sus cuentas hayan sido hackeadas.
Además, al ser correos electrónicos legítimos de PayPal, están eludiendo filtros de seguridad y spam. En la siguiente sección, explicaremos cómo los estafadores envían estos correos electrónicos.
El objetivo de estos correos es engañar a los destinatarios haciéndoles creer que su cuenta compró un dispositivo caro y asustarles para que llamen al número de teléfono de «soporte de PayPal» del estafador.
Históricamente, correos electrónicos como estos se han utilizado para convencer a los destinatarios de llamar a un número para cometer fraude bancario o para engañarles y que instalen malware en sus ordenadores.
Por lo tanto, si recibes un correo electrónico legítimo de PayPal indicando que tu pago automático ya no está activo y contiene una confirmación falsa de compra, ignora el correo y no llames al número.
Cómo descargar todas las fotos y videos de Google Photos
Si te preocupa que tu cuenta de PayPal haya sido comprometida, inicia sesión en tu cuenta y confirma que no hubo ningún cargo.
Cómo funciona la estafa de PayPal
A BleepingComputer le enviaron una copia del correo electrónico de alguien que lo recibió y le pareció extraño que la estafa se originara en la dirección legítima de correo electrónico «service@paypal.com».
Además, las cabeceras indican que los correos son legítimos, superan las comprobaciones de seguridad DKIM y SPF, y provienen directamente del servidor de correo «mx15.slc.paypal.com» de PayPal
Tras probar varias funciones de facturación de PayPal, BleepingComputer pudo replicar la misma plantilla de correo electrónico utilizando la función «Suscripciones» de PayPal y pausando a un suscriptor.
Las suscripciones de PayPal son una función de facturación que permite a los comerciantes crear opciones de pago de suscripción para que las personas se suscriban a un servicio por una cantidad determinada.
Cuando un comerciante pausa la suscripción de un suscriptor, PayPal envía automáticamente un correo electrónico al suscriptor para notificarle que su pago automático ya no está activo.
Sin embargo, cuando BleepingComputer intentó replicar la estafa añadiendo texto distinto a una URL a la URL del Servicio de Atención al Cliente, PayPal rechazó el cambio ya que solo se permite una URL.
Por lo tanto, parece que los estafadores están explotando un fallo en la gestión de los metadatos de suscripción por parte de PayPal o utilizando un método, como una API o una plataforma heredada que no está disponible en todas las regiones, que permite almacenar texto inválido en el campo de URL de atención al cliente.
Ahora que sabemos cómo generan el correo desde PayPal, todavía no está claro cómo se envía a personas que no se suscribieron a la suscripción de PayPal.
Las cabeceras muestran que PayPal en realidad está enviando el correo a la dirección «receipt3@bbcpaglomoonlight.studio», que creemos que es la dirección asociada a un suscriptor falso creado por el estafador.
Esta cuenta probablemente sea una lista de correo de Google Workspace, que reenvía automáticamente cualquier correo electrónico que recibe a todos los demás miembros del grupo. En este caso, los miembros son las personas a las que el estafador está atacando.
Este reenvío puede hacer que todas las comprobaciones posteriores de SPF y DMARC fallen, ya que el correo fue reenviado por un servidor que no era el remitente original.
PayPal ha comunicado ahora a BleepingComputer que están reduciendo el método utilizado para enviar estos correos fraudulentos.
«PayPal no tolera actividades fraudulentas y trabajamos duro para proteger a nuestros clientes de estafas de phishing que evolucionan constantemente», dijo PayPal a BleepingComputer.
«Estamos mitigando activamente este asunto y animamos a la gente a estar siempre alerta en línea y atenta a los mensajes inesperados. Si los clientes sospechan que son objetivo de una estafa, recomendamos que contacten directamente con el Soporte al Cliente a través de la app de PayPal o nuestra página de Contacto para recibir ayuda.»
Sígueme en estos canales
Mantente al día con las últimas noticias y actualizaciones.
