Мошенники нашли новый способ рассылки мошеннических сообщений через официальные сервисы PayPal.
В декабре 2025 года мы сообщали, что PayPal лазейку, позволявшую мошенникам рассылать подлинные электронные письма с поддельными уведомлениями о покупках.
В таких случаях мошенники создавали PayPal , а затем приостанавливали её действие, что приводило к появлению подлинного уведомления PayPal«Ваш автоматический платеж больше не активен». Кроме того, они создавали поддельный аккаунт подписчика, вероятно, список рассылки Google Workspace, который автоматически пересылал все полученные письма всем остальным участникам группы.
Недавно сайт ConsumerWorld.org сообщил нам, что мошенники, выдающие себя за сотрудников службы технической поддержки, нашли способ подделать тему письма в уведомлениях PayPal .
Это скриншот примера, который они нам прислали.
Как видите, письмо пришло с адреса service@paypal.com. Адрес не был подделан, а значит, оно прошло стандартные проверки безопасности (DKIM, SPF, DMARC).
Хотя в тексте письма указано, что вы получили платеж в размере 1 йены (целых 0,0063 доллара), тема письма говорит о другом:
«Ожидается списание суммы в размере 987,90 долларов США за активацию учетной записи. Есть вопросы? Звоните по номеру (888) 607-0685».
В качестве дополнительного бонуса для мошенников письмо содержит персонализированные данные — настоящее имя получателя и реальный идентификатор транзакции.
Номер, указанный в поле «Тема», не принадлежит PayPal. Настоящий номер телефона указан в тексте письма.
Мошенничество или честный бизнес? Scam Guard знает.
Цель этого письма предельно ясна.
Получатели думают:
- «О нет! Есть неоплаченный счет на сумму 987,90 долларов».
- «Сумма не совпадает с тем, что я вижу в тексте письма — это странно и пугающе».
- «Мне нужно немедленно позвонить по этому номеру, чтобы оспорить эту оплату».
Они звонят по номеру, указанному в теме письма, но попадают на мошенников, выдающих себя за сотрудников службы технической поддержки.
Эти мошенники выдают себя за сотрудников PayPal и могут пытаться:
- Попросить вас «подтвердить» способы оплаты
- Собрать банковские реквизиты
- Убедить вас установить средства удаленного доступа
- Управляйте учетными записями или устройствами
- Все вышеперечисленное
Пока неясно, как именно была изменена тема письма. Судя по задокументированной практике PayPalс электронной почтой, темы писем, как правило, являются фиксированными и не предполагают включения произвольного текста или телефонных номеров. Наши выводы указывают на то, что тема письма уже была использована в злонамеренных целях на момент, когда системы PayPalподписали это письмо. Если бы кто-то на каком-то этапе переписал тему, то dkim=pass header.d=paypal.com результат, скорее всего, будет неудачным.
Один из возможных вариантов заключается в том, что мошенник злоупотребил полем для примечаний или перевода PayPalтаким образом, что эта информация отображается в определённых шаблонах выплат, включая строку темы и HTML-код <title>, хотя в обычных письмах с уведомлением о поступлении платежа от продавца нельзя указывать произвольные темы.
Мы обратились в PayPal комментариями и обновим этот пост, если получим ответ.
Как избежать PayPal через PayPal
Лучший способ обезопасить себя — это быть в курсе уловок, которые используют мошенники. Научитесь распознавать тревожные признаки, которые почти всегда выдают мошенничество ифишинговые письма, и помните:
- Пользуйтесь проверенными официальными способами связи с компаниями. Незвоните по номерам, указанным в подозрительных электронных письмах или вложениях.
- Будьте осторожны, если кто-то пытается подключиться к вашему компьютеру удаленно. Одноиз главных орудий мошенников, выдающих себя за сотрудников технической поддержки, — это возможность удаленного подключения к компьютерам своих жертв. Если им это удается, они получают практически полный доступ ко всем вашим файлам и папкам.
- Сообщайте о подозрительных письмах в PayPal. Отправить письмо до
phishing@paypal.comдля содействия их расследованиям.
Если вы стали жертвой мошенничества со стороны «технической поддержки»:
- Вы заплатили мошеннику? Свяжитесь сосвоим банком или эмитентом карты и сообщите им о случившемся. Вы также можетеподать жалобув Федеральную торговую комиссию (FTC) или в местные правоохранительные органы, в зависимости от вашего региона.
- Поделились паролем? Изменитеего везде, где он используется. Подумайте об использованиименеджера паролейи включитедвухфакторную аутентификациюдля важных учетных записей.
- Вы предоставили доступ к своему устройству? Запустите полное сканирование на наличие угроз.Если мошенники получили доступ к вашей системе, они, возможно, установилибэкдор, чтобы иметь возможность возвращаться, когда им заблагорассудится. Malwarebytes удалить эти и другие программы, оставленные мошенниками.
- Следите за своими счетами: обращайтевнимание на неожиданные платежи или подозрительные списания с ваших кредитных карт и банковских счетов.
- Будьте осторожны с подозрительными письмами. Есливы уже стали жертвой мошенников, они могут снова нацелиться на вас.
Совет от профессионала:Malwarebytes Guard распознал это письмо как мошенничество с обратным звонком. Загрузите впрограммулюбые подозрительные тексты, письма, вложения и другие файлы, чтобы узнать её мнение. Она действительно очень хорошо распознает мошенничество.
Что-то не так? Проверьте, прежде чем нажимать.
Malwarebytes Guardпоможет вам мгновенно анализировать подозрительные ссылки, тексты и скриншоты.
Доступно в составеMalwarebytes Premium для всех ваших устройств, а также вMalwarebytes для iOS Android.
