Ya se sabe que el servicio PayPal es sensible a ser imagen de campañas phishing, sobre todo por la importancia que poseen los datos que se encuentran en las cuentas (en este caso dinero). Durante toda esta semana se ha detectado el envío masivo de un correo spam de PayPal en el que se hacía creer al usuario que una tercera persona había tratado de acceder a la cuenta de forma ilegítima, ofreciendo a este la posibilidad de cambiar la clave.
Aunque muchos servicios de correo (como en este caso lo ha hecho Gmail) marcan el mensaje directamente como spam, es probable que algunos no lo hagan y el usuario lea el correo pensando que se trata de un mensaje legítimo procedente del staff del servicio de pagos PayPal. Sin embargo, tal y como se puede comprobar la dirección no pertenece al servicio, aunque sí que es verdad que los ciberdelincuentes han utilizado el nombre del servicio para introducir una dirección legítima y así hacer creer al usuario que la alerta es real y que han existido intentos de acceso no autorizados.
Teniendo en cuenta el pánico que muestran muchos usuarios con temas relacionados con las tarjetas de crédito o los servicios de pago no sería para nada descabellado pensar que un porcentaje importante de usuario presten atención al correo y a su información.
La URL que se ofrece al usuario conduce a una página falsa
Para hacer el ataque mucho más creíble los ciberdelincuentes utilizan una serie de datos contenidos en una tabla buscando que el usuario acceda a la URL que se encuentra justo debajo de la tabla y que sirve para verificar su identidad y modificar de esta forma las credenciales de acceso, o en este caso la contraseña. Hay muchos métodos para que roben un e-mail.
Sin embargo esta dirección de PayPal no es la real, ya que esta se encuentra escondida detrás de la que a priori sí es la real y a la que presta atención el usuario. Cuando el usuario accede a la página se encuentra con un formulario en el que debe introducir su nombre de usuario, la contraseña antigua y la nueva contraseña que quiera establecer en el servicio, siendo esta última inútil, o al menos para los cibercriminales, ya que los datos importantes son los dos primeros, dándoles acceso a la cuenta y a realizar operaciones con ella.
Nuevamente debemos recordar que en el caso de disponer de inicio de sesión en dos pasos no habría que preocuparse, ya que solo con las credenciales de acceso los ciberdelincuentes no serían capaces de acceder a la cuenta, ya que necesitan el código enviado al medio indicado una vez introducidos estos. Por lo tanto, una vez más queda demostrado lo importante que es disponer de esta función activada.