Một chiến dịch lừa đảo phi truyền thống mạo danh dịch vụ thanh toán trực tuyến PayPal một cách thuyết phục để cố gắng đánh lừa người dùng đăng nhập vào tài khoản của họ để thực hiện thanh toán.

Trên thực tế, việc đăng nhập cho phép kẻ tấn công chiếm đoạt tài khoản. Phần mới lạ của chiến dịch này là việc lạm dụng một tính năng hợp pháp trong Microsoft 365 để tạo một tên miền thử nghiệm, sau đó cho phép kẻ tấn công tạo một danh sách phân phối email khiến các tin nhắn yêu cầu thanh toán có vẻ như được gửi hợp pháp từ PayPal.

Theo đó, email lừa đảo thông báo cho nạn nhân về yêu cầu thanh toán, cung cấp các thông tin chi tiết trông như hợp lệ, chẳng hạn như số tiền và ID giao dịch, thậm chí còn chứa các cảnh báo thường thấy trong email từ PayPal.

Hơn nữa, các tin nhắn này đến từ một địa chỉ PayPal chính hãng và chứa URL chính hãng, cho phép chúng vượt qua các cuộc kiểm tra bảo mật và khiến chúng có vẻ hợp pháp. Fortinet cho biết khi nạn nhân nhấp vào liên kết, họ sẽ được chuyển hướng đến trang đăng nhập PayPal hợp pháp hiển thị yêu cầu thanh toán, điều này có thể khiến người dùng lo lắng và nhập thông tin đăng nhập để tìm hiểu thêm về giao dịch.

Tuy nhiên, nếu cố gắng đăng nhập, trang web sẽ tự động liên kết tài khoản PayPal của nạn nhân với địa chỉ email của kẻ lừa đảo, thực tế được hiển thị trong trường “To:” của email lừa đảo và trong trường hợp được Fortinet phân tích là “Billingdepartments1[@]gkjyryfjy876[.]onmicrosoft[.]com”.

Theo công ty bảo mật này, kẻ tấn công dường như đã đăng ký tên miền Microsoft 365, có thể là tên miền thử nghiệm, miễn phí trong ba tháng đầu tiên, sau đó tạo danh sách phân phối có chứa địa chỉ email của các nạn nhân dự định.

Fortinet cho biết, trên cổng thông tin web PayPal, họ chỉ cần yêu cầu chuyển tiền và thêm danh sách phân phối làm địa chỉ.

Tiếp theo, yêu cầu được gửi đến các nạn nhân và Microsoft 365 Sender Rewrite Scheme sẽ ghi lại người gửi, cho phép email vượt qua các kiểm tra SPF/DKIM/DMARC. Sau đó, ngay khi nạn nhân nhấp vào liên kết và cố gắng đăng nhập vào tài khoản của mình, địa chỉ email của kẻ tấn công sẽ được liên kết với tài khoản PayPal của nạn nhân.

“Kẻ tấn công sau đó có thể kiểm soát tài khoản PayPal của nạn nhân. Trên thực tế, nó khéo léo đến mức có thể vượt qua cả hướng dẫn kiểm tra lừa đảo của PayPal. Vì mọi thứ trong email lừa đảo có vẻ hoàn toàn hợp lệ và vì cuộc tấn công không sử dụng các phương pháp lừa đảo truyền thống nên người dùng chỉ có thể tự bảo vệ mình bằng cách cảnh giác với các email không mong muốn, bất kể chúng có vẻ từ nguồn uy tín hay không, Fortinet giải thích.