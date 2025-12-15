Diversi utenti hanno segnalato l’ennesima truffa che sfrutta la popolarità di PayPal. I cybercriminali inviano email di phishing che sembrano legittime per informare gli utenti della disattivazione dei pagamenti automatici. Lo scopo della truffa è rubare soldi oppure installare malware.

Come funziona la truffa

Nelle email è scritto che i pagamenti automatici non sono più attivi, ma che è stato elaborato il pagamento di un prodotto piuttosto costoso. Il testo include caratteri Unicode in grassetto, un trucco usato per aggirare i filtri anti-spam. Per cancellare il pagamento è possibile contattare il supporto di PayPal (falso) al numero di telefono indicato.

L’indirizzo del mittente è service@paypal.com , quindi appare legittimo. Gli utenti pensano quindi che i loro account sono stati compromessi. Ovviamente si tratta di una truffa. Se l’ignara vittima contatta il presunto supporto di PayPal, i cybercriminali cercheranno di ottenere i dati di pagamento (conto corrente o carta di credito) con la scusa di bloccare la transazione.

Gli header dell’email indicano che il mittente è legittimo, in quanto sono stati superati i controlli di sicurezza DKIM (DomainKeys Identified Mail) e SPF (Sender Policy Framework) che permettono di verificare la provenienza del messaggio. I cybercriminali hanno abusato della funzionalità Subscriptions di PayPal.

Questi abbonamenti consentono ai commercianti di creare opzioni di pagamento ricorrenti. Quando un commerciante sospende l’abbonamento, PayPal invia automaticamente un’email all’utente per informarlo che il pagamento automatico non è più attivo. I cybercriminali hanno probabilmente sfruttato una vulnerabilità nella gestione dei metadati per aggiungere una Customer Service URL diversa da quella legittima (in questo campo di testo viene scritto il numero del presunto supporto tecnico).

L’email è stata inviata anche agli utenti non abbonati attraverso una mailing list creata su Google Workspace. PayPal ha confermato l’introduzione di una maggiore protezione che rileva queste email di phishing.