سوءاستفاده از ویژگی "آدرس جدید" در PayPal برای ارسال ایمیل‌های فیشینگ

محققان امنیتی اخیراً کشف کرده‌اند که هکرها از ویژگی “New Address” (آدرس جدید) در PayPal سوءاستفاده کرده و از طریق آن ایمیل‌های فیشینگ ارسال می‌کنند. این حمله باعث شده است که ایمیل‌های جعلی از سوی PayPal به کاربران ارسال شود و به نظر قانونی برسند.

این کلاهبرداری از تنظیمات آدرس پلتفرم PayPal سوءاستفاده کرده و اعلان‌های جعلی خرید برای کاربران ارسال می‌کند تا آن‌ها را فریب داده و دسترسی از راه دور به سیستم‌هایشان بدهند.

طی یک ماه گذشته، وب ‌سایت BleepingComputer و برخی منابع دیگر [1, 2]، گزارش‌هایی درباره دریافت ایمیل‌هایی از PayPal دریافت کرده‌اند که شامل پیام زیر است:

“شما یک آدرس جدید اضافه کرده‌اید. این فقط یک تأیید سریع است که نشان می‌دهد شما یک آدرس جدید در حساب PayPal خود اضافه کرده‌اید.”

در این ایمیل، آدرس جدیدی که ظاهراً به حساب PayPal کاربر اضافه شده است، نمایش داده می‌شود. همچنین، پیامی در ایمیل وجود دارد که به ‌عنوان تأییدیه خرید یک MacBook M4 ظاهر می‌گردد و از کاربر خواسته می‌شود در صورت عدم تأیید این خرید، با شماره پشتیبانی PayPal (که در ایمیل درج شده است) تماس حاصل نماید.

نمونه‌ای از متن این ایمیل فیشینگ به شرح زیر است:

“تأییدیه: آدرس تحویل کالا شما برای MacBook M4 Max 1TB به قیمت 1098.95 دلار تغییر کرده است. اگر این به ‌روزرسانی را تأیید نکرده‌اید، لطفاً با PayPal تماس بگیرید: +1-888-668-2508.”

این ایمیل‌ها مستقیماً از طریق آدرس ایمیل رسمی PayPal یعنیservice@paypal.com ارسال می‌شوند که باعث نگرانی کاربران بابت هک شدن حسابشان شده است.

کاربرانی که ایمیل های فیشینگ را دریافت کرده اند، با بررسی‌ بیشتر متوجه شدند که آدرس جدیدی به حساب‌های PayPal آن‌ها اضافه نشده است. در برخی موارد، این ایمیل‌های کلاهبرداری حتی به آدرس‌هایی ارسال شده‌اند که اصلاً حساب PayPal ندارند.

از آنجایی که این ایمیل‌ها به‌طور رسمی از طریق ایمیل PayPal ارسال شده‌اند، به راحتی از فیلترهای امنیتی و پوشه‌ی هرزنامه (Spam) عبور کرده و در صندوق ورودی کاربران نمایش داده می‌شوند!

هدف کلاهبرداران از این ایمیل‌ها آن است که گیرندگان را فریب داده و متقاعد سازند که حساب‌های آنها هک شده و از آن برای خرید یک MacBook استفاده شده است. این ترفند باعث وحشت کاربران شده و آن‌ها را ترغیب می‌کند که با شماره جعلی پشتیبانی PayPal که در ایمیل ذکر شده است، تماس بگیرند.

هنگامی که کاربر با شماره تماس می‌گیرد، یک پیام صوتی ضبط ‌شده پخش می‌شود که می‌گوید شما با پشتیبانی مشتریان PayPal تماس گرفته‌اید و باید منتظر بمانید تا به کارشناس متصل شوید سپس تماس به یک فرد که خود را اپراتور پشتیبان مشتریان معرفی می‌کند، متصل می‌شود.

کلاهبردار تلاش می‌کند قربانی را وحشت‌زده کند و او را متقاعد سازد که حسابش هک شده است. سپس، برای “کمک به بازگرداندن دسترسی به حساب و مسدود کردن تراکنش جعلی“ از کاربر می‌خواهد یک نرم‌افزار خاص را دانلود و اجرا کند!

کلاهبردار کاربر را به سایتی مانند pplassist[.]com هدایت می‌کند و از او می‌خواهد یک کد سرویس که توسط کارمند جعلی PayPal ارائه شده است را وارد نماید.

با وارد کردن این کد، یک کلاینت ConnectWise ScreenConnect از سایت‌هایی مانند lokermy.numaduliton[.]icu یا سایر منابع دانلود می‌شود. کلاهبردار سپس از قربانی می‌خواهد که این نرم‌افزار را اجرا کند که در واقع به او دسترسی از راه دور به سیستم قربانی می‌دهد.

این نرم افزار در سایت Virtualtotal مورد بررسی قرار گرفته و چندین تیم ارزیابی امنیتی آن را مخرب اعلام کردند. Virtualtotal یک وب‌ سایت رایگان برای بررسی فایل‌ها از نظر آلوده بودن به بدافزار می‌باشد.

در این مرحله، محققان امنیتی تماس خود را با کلاهبردار قطع کرده و نرم‌افزار را اجرا نکردند؛ اما بر اساس حملات مشابه قبلی، زمانی که مهاجم به کامپیوتر قربانی دسترسی پیدا کند، می‌تواند اقدام به سرقت پول از حساب‌های بانکی، نصب بدافزار یا سرقت اطلاعات حساس از سیستم قربانی کند.

متد حمله

هنگامی که وب‌سایت BleepingComputer برای اولین بار این ایمیل را دریافت کرد، متوجه شد که پیام از آدرس رسمی service@paypal.com به آدرسی ارسال شده که هیچ حساب PayPal ندارد. همچنین بررسی‌های فنی نشان داد که این ایمیل‌ها از سرورهای رسمی PayPal ارسال شده‌اند و تأییدیه‌های امنیتی ایمیل مانند DKIM را پاس کرده اند. در شکل زیر هدر ایمیل دریافتی را مشاهده می کنید:

				
					Received: from mx1.phx.paypal.com (mx1.phx.paypal.com. [66.211.170.87])
        by mx.google.com with ESMTPS id 41be03b00d2f7-addf237d3e1si10521113a12.387.2025.02.18.07.30.09
        for <noreply_@usaea.institute>

اما باز هم مشخص نبود که چرا این ایمیل‌ها از سرورهای PayPal ارسال می‌شوند تا اینکه محققان در انتهای ایمیل متوجه این متن شدند:

“اگر می‌خواهید کارت اعتباری خود را به این آدرس متصل کنید یا آن را به آدرس اصلی خود تبدیل کنید، وارد حساب PayPal خود شوید و به قسمت پروفایل بروید.”

“از آنجایی که این آدرس یک آدرس هدیه است، می‌توانید بسته‌ها را تنها با یک کلیک به آن ارسال کنید.”

بررسی‌های بیشتر نشان داد که “آدرس‌های هدیه” (Gift Addresses) همان آدرس‌های اضافی هستند که کاربران می‌توانند به پروفایل PayPal خود اضافه کنند. محققان امنیتی این کلاهبرداری را با یک آزمایش بررسی کردند. آن‌ها یک آدرس جدید به حساب PayPal خود اضافه کرده و پیام جعلی تائیدیه خرید مک‌بوک را در فیلد “Address 2” وارد کردند.

پس از ذخیره‌ی تغییرات، PayPal همان ایمیل تأییدیه را ارسال کرد که شامل پیام جعلی خرید نیز بود. این تنها یک بخش از حمله است. با اینکه مشخص شد این ایمیل ها چگونه تولید می شوند؛ اما هنوز مشخص نیست که مهاجمان چگونه ایمیل‌ها را از طرف PayPal به تمام اهداف خود ارسال می‌کنند.

بررسی‌های دقیق‌تر هدرهای ایمیل نشان داد که این پیام در ابتدا به آدرس noreply_@usaea.institute ارسال شده است که متعلق به مهاجمان است. سپس این ایمیل به‌طور خودکار به آدرس دیگری ” bill_complete1@zodu.onmicrosoft.com” که مربوط به یک اکانت Microsoft 365 است، فوروارد شده است.

احتمالاً این حساب کاربری در Microsoft 365 یک لیست پستی (mailing list) است که هر ایمیلی که دریافت کند را به تمام اعضای لیست (که شامل قربانیان است) ارسال می‌کند. لیست پستی مجموعه ای از نام ها و آدرس ایمیل هایی است که اعضای آن به دلایل مختلف در این لیست ثبت نام کرده اند.

مهاجمان آدرس جعلی را در PayPal اضافه می کنند، این پلتفرم ایمیل تایید را برای مهاجمان ارسال می کند، سپس آن ها این ایمیل را به اکانت Microsoft 365 فوروارد کرده و همانطور که توضیح داده شد ایمیل فیشینگ به اعضای لیست پستی ارسال می‌شود. در شکل زیر روند این حمله را مشاهده می‌کنید:

PayPal با عدم محدود کردن تعداد کاراکترها در فیلدهای فرم آدرس این کلاهبرداری را امکان‌پذیر کرده است، زیرا این کار به مهاجمان اجازه می‌دهد تا پیام فیشینگ خود را وارد کنند. PayPal برای برطرف کردن این مشکل، باید تعداد کاراکترهای مجاز در فیلد آدرس را به یک تعداد معقول مانند 50 کاراکتر یا کمتر، محدود کند.