Criminosos aproveitavam brecha no PayPal para disparar phishing de e-mails oficiais

O PayPal corrigiu uma brecha de segurança que vinha sendo explorada por golpistas para enviar e-mails de phishing altamente convincentes. A falha permitia o disparo de mensagens fraudulentas a partir do domínio oficial da empresa, o que tornava o golpe ainda mais difícil de identificar.

No ataque, as vítimas recebiam um e-mail informando o suposto cancelamento da cobrança automática de uma assinatura. Segundo uma investigação do site Bleeping Computer, o método vinha sendo utilizado há meses, com diversos relatos circulando nas redes sociais.

• Confira: Golpistas usam PDFs e SMS para roubar dinheiro de usuários

De acordo com o levantamento, os golpistas criavam uma assinatura no PayPal e, em seguida, interrompiam o serviço. Como parte do funcionamento normal da plataforma, o sistema da empresa enviava automaticamente uma notificação sobre a suspensão — que acabava chegando a usuários reais.

A assinatura é vinculada a uma lista de e-mail falsa no Google Workspace que, entre os membros, continha os e-mails das vítimas. Dessa forma, a mensagem do cancelamento era encaminhada aos alvos de forma automática.

O conteúdo das mensagens variava em formatação e números de contato, mas seguia um padrão: criar senso de urgência ao mencionar cobranças associadas a produtos caros, como iPhones ou MacBooks. O texto incluía ainda um número falso, que se passava pelo suporte do PayPal, para que o usuário entrasse em contato caso quisesse cancelar a suposta cobrança.

Para driblar filtros automáticos de spam, os e-mails eram compostos com o uso de caracteres especiais. Usuários mais atentos conseguiam identificar inconsistências no conteúdo, mas o endereço do remetente levantava dúvidas legítimas, já que as mensagens eram enviadas a partir do e-mail service@paypal.com.

O apelo à urgência levava muitas vítimas a acreditar que a conta havia sido comprometida e usada para uma compra de alto valor. Segundo o Bleeping Computer, os atacantes aparentemente exploravam uma brecha em alguma API ou serviço legado do PayPal para gerar e disparar essas mensagens diretamente pela plataforma.

Em 14 de dezembro, o PayPal confirmou que estava trabalhando ativamente para mitigar o problema. “Incentivamos as pessoas a estarem sempre vigilantes online e atentas a mensagens inesperadas. Se os clientes suspeitarem que são alvo de um golpe, recomendamos que entrem em contato diretamente com o suporte ao cliente pelo aplicativo PayPal ou pela nossa página de contato para obter assistência”, afirmou a empresa em comunicado.

Como prevenir?

O caso reforça que mensagens falsas podem, sim, partir de endereços oficiais, o que torna a simples verificação do remetente insuficiente para garantir a autenticidade de um e-mail.

A recomendação é evitar clicar em links enviados por mensagens, especialmente quando o conteúdo envolve urgência ou possíveis cobranças financeiras. Nesses casos, o ideal é acessar o serviço manualmente — digitando o endereço oficial no navegador ou usando um buscador. Se o alerta for legítimo, a informação provavelmente também estará disponível dentro da própria plataforma.

• Leia mais: França investiga suposta interferência estrangeira após balsa ser atacada por malware

Quer ficar por dentro dos principais alertas de segurança digital e das novidades do mundo da tecnologia? Acompanhe o TecMundo nas redes sociais e não perca nenhuma atualização.