Мошенники нашли способ использовать возможности Microsoft 365 для атак на клиентов PayPal

Специалисты компании Fortinet сообщили о новой фишинговой схеме, в которой злоумышленники применяют функцию запросов на переводы денег в PayPal. Эта схема основывается на использовании официального функционала платформы, что позволяет обманом заставлять пользователей доверять полученным сообщениям.

Хакеры регистрируют бесплатные тестовые домены Microsoft 365, создавая с их помощью списки рассылок, куда включают адреса электронной почты своих потенциальных жертв. После этого инициируется запрос на перевод средств через PayPal. В данном случае список рассылки указывается как адрес получателя. Благодаря технологии перезаписи отправителя (SRS), используемой в Microsoft, оригинальный адрес отправителя модифицируется, чтобы пройти проверки подлинности, придавая сообщению видимость легитимности. Более того, указанные в письме электронный адрес, URL и имя отправителя проходят проверку безопасности PayPal, что усиливает доверие получателей к подлинности сообщения.

Когда получатель, обеспокоенный содержанием письма, переходит по ссылке и вводит свои данные для входа в аккаунт PayPal, мошенники получают доступ к этой учётной записи. Таким образом, жертва становится уязвимой для дальнейших действий злоумышленников, включая хищение финансовых средств.

Эксперты подчёркивают, что в отличие от стандартных методов фишинга, где злоумышленники обычно рассылают письма массово, в этой схеме используется проверенная функция почтового поставщика. Сообщения отправляются с авторитетного источника и оформляются в полном соответствии с шаблоном официальных уведомлений, таких как стандартные запросы на оплату в PayPal. Это значительно усложняет задачу почтовых сервисов по выявлению подобных атак, а единственным субъектом, который может эффективно решить проблему, остаётся сама платформа PayPal.

Для предотвращения подобных угроз специалисты Fortinet напоминают о необходимости формирования «человеческого брандмауэра». Пользователи и сотрудники организаций должны быть обучены тщательной проверке всех неожиданных запросов на оплату, даже если они выглядят совершенно легальными. Такой подход поможет сократить вероятность успешной реализации фишинговых атак.