PayPal Subscriptions nadużyte do wysyłki fałszywych „potwierdzeń zakupu”. Jak działa nowy scam i jak się bronić

Wprowadzenie do problemu / definicja luki

W ostatnich dniach opisano nową kampanię, w której przestępcy nadużywają funkcji Subscriptions w PayPal, aby generować w pełni prawdziwe (pod względem pochodzenia) e-maile z adresu service@paypal.com. W treści systemowego powiadomienia „Your automatic payment is no longer active” oszuści umieszczają komunikat o rzekomym drogim zakupie (np. iPhone/MacBook) wraz z numerem telefonu do „anulowania” — to klasyczny wektor callback phishing/tech-support scam. E-maile przechodzą SPF/DKIM/DMARC i często omijają filtry antyspamowe, co podnosi skuteczność ataku.

W skrócie

• Atak bazuje na legalnych powiadomieniach Subscriptions; manipulowany jest Customer service URL w szablonie e-maila.
• Celem jest skłonienie ofiary do zadzwonienia pod podany numer i dalszej socjotechniki (np. zdalny dostęp, przelewy).
• PayPal potwierdził, że wdraża działania łagodzące metodę nadużycia.
• Malwarebytes poinformował, że PayPal zamknął lukę/obejście wykorzystywane w tej kampanii.
• Zalecane jest nieoddzwanianie, weryfikacja transakcji wyłącznie po zalogowaniu do konta i forward podejrzanych maili na phishing@paypal.com.

Kontekst / historia / powiązania

Nadużywanie zaufanej infrastruktury (tzw. living off trusted services) to trend widoczny w kampaniach przeciw użytkownikom PayPal — wcześniej opisywano m.in. wykorzystanie iCloud Calendar i innych legalnych kanałów do generowania „legalnie wyglądających” zaproszeń/wiadomości z numerami do oddzwonienia. Schemat kończy się zwykle instalacją oprogramowania zdalnego dostępu lub próbą „czyszczenia konta”.

Analiza techniczna / szczegóły luki

Wejście wektorowe: oszuści tworzą subskrypcję i pauzują „subskrybenta”, co uruchamia systemowe powiadomienie „automatic payment is no longer active”. W polu Customer service URL zamiast adresu URL wstawiany jest tekst z nazwą domeny, kwotą (np. 1 300–1 600 USD) i numerem telefonu do „anulowania”. Do obfuskacji używane są znaki Unicode (pseudo-pogrubienia) dla utrudnienia detekcji słów kluczowych.

Dlaczego to przechodzi filtry?

• Źródłem jest infrastruktura PayPal — nagłówki wskazują na serwer mx15.slc.paypal.com; SPF/DKIM/DMARC = pass, więc systemy bramek ufają nadawcy.
• Dystrybucja: zgodnie z analizą, wiadomości kierowane są najpierw na adres „subskrybenta” kontrolowany przez atakującego, który jest listą dystrybucyjną (np. Google Workspace). Forwarding rozsyła je masowo do ofiar; przy dalszym przekazywaniu mogą pojawić się niezgodności SPF/DMARC, ale oryginalny komunikat pochodził z PayPal.

Status naprawy: PayPal przekazał mediom, że aktywnie ogranicza/mitiguje metodę, a najnowsze doniesienia branżowe wskazują na zamknięcie wykorzystywanego obejścia.

Praktyczne konsekwencje / ryzyko

• Wysoka wiarygodność percepcyjna: wiadomość wygląda na w 100% autentyczną (adres nadawcy, branding, podpisy kryptograficzne), co szczególnie zagraża użytkownikom nietechnicznym i filtracji opartej na reputacji domeny.
• Ryzyko eskalacji: po telefonie do „supportu” dochodzi do social engineering, bank fraud lub instalacji narzędzi zdalnych.
• Ryzyko dla firm: helpdeski i księgowość mogą reagować na „pilne” rzekome zwroty; możliwe obejścia DLP/SEG poprzez legalne źródła. Trend ten wpisuje się w szerszą falę kampanii na użytkowników PayPal.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników:

1. Nie dzwoń pod numery z maila; zaloguj się bezpośrednio na paypal.com i sprawdź „Activity”.
2. Zgłoś: prześlij całość wiadomości na phishing@paypal.com (forward, bez zmian tematu), a następnie usuń z inboxu.
3. Włącz 2FA na PayPal i skrzynce pocztowej; aktualizuj AV/EDR. (Dobre praktyki zalecane również w poradnikach branżowych).

Dla SOC/IT (O365/Google Workspace):

• Ustanów inbound allow-listę bez „ślepego zaufania” — wiadomości z zaufanych domen też poddawaj sandboxingowi i DLP.
• Twórz reguły transportowe/SEGs na wzorce callback (ciągi „call”, „cancel”, +1-8xx, kwoty > $500 w treści, Unicode stylizujący).
• Blokuj/monitoruj instalacje RMM/remote-access spoza listy dozwolonych oraz połączenia do znanych call-center scam.
• Użyj M365 Safe Links/Safe Attachments, Gmail Security Sandbox, a w SIEM dodaj playbook na „PayPal subscription pause + phone-number”.
• Stosuj brand-agnostic detekcje treści (NLP/regex) zamiast wyłącznie reputacji nadawcy.

Dla zespołów finansowych/Helpdesk:

• Procedura „zawsze weryfikuj w systemie źródłowym”: zgłoszenia o rzekomych zakupach sprawdzaj wyłącznie w panelu PayPal, nigdy przez telefon z e-maila.
• Szkolenia micro-learning: „legalny e-mail ≠ legalna treść”. Case-study tej kampanii na następnym security awareness.

Różnice / porównania z innymi przypadkami

• Klasyczne fałszywe faktury PayPal: wysyłane z zewnętrznych domen, podszywanie bez DKIM — łatwiejsze do wykrycia.
• Obecny wariant: wykorzystuje legalne powiadomienia Subscriptions z poprawnymi podpisami; wektor ataku to treść (pole URL + numer telefonu), nie linki/załączniki.

Podsumowanie / kluczowe wnioski

Nadużycie Subscriptions pokazało, że nawet prawidłowo podpisane e-maile z zaufanej domeny mogą nieść złośliwą narrację. Najlepszą obroną pozostaje model zerowego zaufania do treści, weryfikacja transakcji po zalogowaniu oraz twarde procedury zgłoszeń. PayPal zadeklarował i wdrożył działania ograniczające ten wektor, ale callback phishing będzie wracał w nowych wariantach.

Źródła / bibliografia

1. BleepingComputer — szczegóły kampanii, nagłówki, mechanika Subscriptions i stanowisko PayPal (14 grudnia 2025). (BleepingComputer)
2. Malwarebytes — informacja o zamknięciu luki/obejścia przez PayPal (15 grudnia 2025). (malwarebytes.com)
3. PayPal — oficjalne wytyczne raportowania podejrzanych wiadomości (strony pomocy/centrum bezpieczeństwa). (PayPal)
4. Malwarebytes — nadużycie iCloud Calendar w kampaniach na użytkowników PayPal (8 września 2025). (malwarebytes.com)
5. ESET — przegląd typowych scamów na użytkowników PayPal (2025). (ESET)