Paypal: lo strano caso delle “transazioni recenti”

Security Awareness
9 Agosto 2018

In questi giorni, nelle caselle postali di alcuni utenti Paypal, è arrivato un messaggio che invita l’utente a rivedere le sue ultime transazioni.

L’avviso è ben scritto, la grafica è quella propria di Paypal, la formula di apertura riporta nome e cognome dell’utente, e, per rafforzare la sua credibilità, c’è anche un avviso contro le truffe online.

Ma, nonostante tutte queste premesse positive, si tratta di un messaggio che NON proviene da Paypal, e si rileva un caso di Phishing molto sofisticato, al punto da lasciare un po’ di mistero rispetto al suo modo di agire e quindi ai rischi reali che corre l’utente che cade nel tranello.

Come premessa è importante dire che Paypal non ha nulla a che vedere con questo tentativo truffaldino. Come sempre nei casi di “brand famosi”, sono i  criminali cyber che sfruttano la popolarità del marchio, molto diffuso soprattutto tra chi effettua acquisti online. Paypal mette inoltre a disposizione dei propri utenti, molte informazioni che aiutano a prevenire le frodi e anche un indirizzo mail a cui rivolgersi in caso di dubbio (spoof@paypal.it), anche se questo sito fornisce risposte solo in lingua inglese.

Lo strano caso di Phishing con mittente Paypal

Mail Phishing Paypal

L’utente riceve una mail che arriva apparentemente da Paypal, una mail che invita lo stesso a rivedere le sue ultime transazioni. Il messaggio è pieno di rimandi a collegamenti ipertestuali che servono a soddisfare questa richiesta. La mail contiene ben 8 collegamenti ipertestuali, con un mega bottone che invita l’utente ad “accedere al suo conto”.  C’è anche un riferimento diretto al sito www.paypal.it a cui collegarsi, anche se si tratta di un campo cliccabile.

Interessante il riferimento alle mail contraffatte. Un messaggio corretto rispetto alle tipiche analisi “anti-phishing”, come quello del “saluto generico”, ma assolutamente insufficiente per determinare se si tratta o meno di una mail contraffatta. E’ vero che nel phishing massivo (spray phishing) i criminali usano spesso formule di saluto generico, ma nel phishing mirato (spear phishing) i criminali ricorrono a formule di saluto corredate da nome e cognome, informazioni che registrano nei loro database. Anche questa frase si chiude con un collegamento ipertestuale, con la frase “scopri di più qui”, che può indurre l’utente a fidarsi della raccomandazione.

In un’analisi “anti-phishing” dobbiamo anche rilevare che il messaggio NON contiene quel criterio di urgenza o di pressione, che caratterizza la maggior parte delle mail contraffatte. La formula con cui si invita l’utente a cliccare non contiene nessuna forzatura legata a scadenze temporali o a possibili conseguenze.

La mail arriva da @mail.paypal.it, un dominio che rassicura l’utente anche più smaliziato (ricordiamo che l’analisi del mittente è una best practice per combattere il phishing). Dalle note di Sicurezza sul sito Paypal scopriamo invece che questo non è un dominio riferibile a Paypal. Leggendole attentamente si scopre che le uniche mail di provenienza Paypal sono quelle che arrivano da @paypal.it o da @e.paypal.it.

Ma il sospetto di un’azione truffaldina trova un evidente riscontro passando con il mouse sopra i vari collegamenti ipertestuali. Si nota infatti come tutti indirizzino verso un dominio diverso da quelli accreditati Paypal: epl.paypal-communication.com. Evidentemente questo dominio non può essere riferito a Paypal, anche se contiene “paypal” al suo interno.

La risposta Paypal

Inviando la mail per segnalazione a Paypal ci è tornata indietro la definitiva conferma che si trattava di una contraffazione. La provenienza della mail è riferibile a ciò che la società americana definisce un FAKE WEBSITE (sito falso).

Non è molto chiaro lo scopo di questa contraffazione. Le ipotesi sono due: ottenere la password per connettersi al conto Paypal (mail+password consentono infatti pieno accesso al conto online) oppure inoculare il dispositivo con un malware.  In questo senso bisogna dire che sottoponendo i collegamenti ipertestuali all’analisi di www.virustotal.com, otteniamo un ritorno di “Malicious site“.

Le nostre raccomandazioni

Come agire in questi casi?

Nel caso di siti come Paypal, o comunque di siti di natura bancaria e finanziaria, dove le credenziali vanno assolutamente protette, la raccomandazione principale è quella di non usare i collegamenti ipertestuali contenuti nella mail. La regola è di accedere da browser internet,  collegandosi direttamente al sito della società (in questo caso www.paypal.it) oppure usare le APP ufficiali (come nel caso della APP Paypal), quando disponibili.

Articoli correlati

“123456”, la password che non ti aspetti

“123456”, la password che non ti aspetti

Cyber sicurezza: una password efficace è la prima regola, ma in troppo ancora la ignorano Sembra incredibile che nel 2025 ancora siano utilizzate password deboli, anzi debolissime, come “123456”, e ancora più incredibile è che a farlo sia stata una piattaforma di...

leggi tutto

News

Siamo orgogliosi di annunciare che Cyber Guru è stata inclusa nella prestigiosa lista “Top 100 EdTech Companies 2025” di TIME Magazine e Statista.

AWARENESS TRAINING

  • Awareness

    Formazione continua per costruire conoscenza e consapevolezza

  • Channel

    Un’esperienza formativa coinvolgente, in formato serie TV

  • Chatbot NEW

    Modalità conversazionale per la formazione nei luoghi di lavoro

COMPLIANCE TRAINING

PHISHING TRAINING

  • Phishing

    Formazione adattiva personalizzata

  • PhishPro

    L’add-on per un addestramento avanzato

REAL TIME AWARENESS

Cyber Advisor NEW

GenAI cybersecurity assistant Scopri Guru, l'assistente AI specializzato in cybersecurity!

RISORSA IN EVIDENZA

Ebook

Cyber Guru Academy Content Creators

Contenuti che fanno la differenza Ideare, progettare e produrre contenuti formativi in grado di generare interesse, coinvolgimento e motivazione ad apprendere, è una sfida quotidiana per il dipartimento Academy di Cyber Guru. Perché è ormai chiaro che per addestrare le persone a difendersi dal cyber crime non basta una piattaforma accattivante e una moltitudine di contenuti.