La truffa di PayPal utilizza Docusign per aggirare la sicurezza

I truffatori sono come gli scarafaggi: non importa quante volte pensiate di averli schiacciati, trovano un modo per tornare nella vostra vita. E ultimamente hanno rispolverato un vecchio trucco per aggirare la sicurezza delle vostre e-mail e rubare il vostro denaro duramente guadagnato. L'ultimo schema? Una subdola miscela di phishing con PayPal e una piattaforma affidabile che probabilmente avete già utilizzato: Docusign.

Sì, avete letto bene. I truffatori stanno utilizzando Docusign - un servizio progettato per semplificarvi la vita - per far sembrare legittime le loro e-mail di phishing. È come se un lupo si presentasse alla vostra porta indossando un maglione da pecora, con tanto di monogramma. Ma non preoccupatevi, siamo qui per aiutarvi a riconoscere l'inganno.

Come funziona l'ultima truffa di PayPal

Ecco come funziona: I truffatori creano un account Docusign e utilizzano i suoi modelli per inviare false fatture PayPal. Poiché le e-mail provengono tecnicamente da Docusign, passano attraverso la maggior parte dei filtri di sicurezza delle e-mail come una lontra unta. Una volta aperta l'e-mail, si viene accolti da un documento che sembra provenire da PayPal, con tanto di logo e linguaggio ufficiale. Ma ecco il bello: l'indirizzo e-mail non lascia dubbi.

Come sottolinea Pieter Arntz, ricercatore di malware intelligence presso Malwarebytes, queste e-mail provengono spesso da un indirizzo Gmail casuale, non esattamente il tipo di cosa che ci si aspetterebbe da un'azienda da miliardi di dollari come PayPal. E se si scava un po' più a fondo, si notano altre bandiere rosse, come l'indirizzo "A" che non corrisponde alla vostra e-mail o che non esiste affatto.

Perché questo vecchio trucco funziona ancora

Potreste pensare: "Sembra una cosa che risale al 2010. Perché esiste ancora?" Ebbene, i truffatori puntano su due cose: la fiducia e la distrazione.

In primo luogo, Docusign è una piattaforma affidabile. Quando si vede un'e-mail proveniente da loro, è meno probabile che si dubiti della sua legittimità. In secondo luogo, ammettiamolo: siamo tutti impegnati. Chi ha il tempo di esaminare ogni e-mail? I truffatori lo sanno e lo sfruttano a loro vantaggio.

Ma c'è una buona notizia: questa truffa è facile da individuare se si sa cosa cercare.

Bandiere rosse da tenere d'occhio

1. Indirizzi e-mail sospetti: Se l'e-mail dichiara di essere di PayPal ma proviene da un dominio Gmail o da un altro dominio non PayPal, si tratta di una truffa.
2. Nessuna firma richiesta: Docusign serve a firmare i documenti. Se l'e-mail non richiede una firma, c'è qualcosa di sospetto.
3. Indirizzo "A" non corrispondente: Se l'e-mail non è indirizzata a voi, non è per voi.
4. Tattiche di pressione: I truffatori amano l'urgenza. Se l'e-mail richiede un'azione immediata, fate un passo indietro e verificate.

Come proteggersi dalle truffe di PayPal

• Andate direttamente alla fonte: Se ricevete un'e-mail sospetta, non cliccate su alcun link. Accedete invece direttamente al vostro conto PayPal (non attraverso l'e-mail) per verificare eventuali problemi.
• Verificare il documento: Se l'e-mail include un link a Docusign, visitate Docusign.com e inserite manualmente il codice di sicurezza del documento. Se è falso, verrà visualizzato un messaggio di errore.
• Abilitare l'autenticazione a due fattori: Aggiunge un ulteriore livello di sicurezza ai vostri account.
• Segnalare attività sospette: Se notate una truffa, segnalatela a PayPal, Docusign e al vostro provider di posta elettronica.

Il quadro generale: Il phishing si sta evolvendo

Sebbene questa truffa possa sembrare un ritorno a tempi più semplici, il phishing nel suo complesso si sta evolvendo. Come sottolinea Paul Walsh, CEO di MetaCert, il vecchio consiglio di "cercare gli errori di ortografia" è superato. I truffatori ora creano messaggi ben scritti e dall'aspetto professionale, più difficili da individuare.

Inoltre, il phishing non è più solo un problema di e-mail. I truffatori utilizzano sempre più spesso SMS, chiamate e persino i social media per colpire le vittime. Walsh sostiene che le informazioni tradizionali sulle minacce non sono più sufficienti per combattere questi attacchi e che per essere all'avanguardia sono necessarie nuove soluzioni, come l'autenticazione degli URL prima della consegna.

Cosa sta facendo PayPal

PayPal non se ne sta con le mani in mano. L'azienda utilizza una combinazione di indagini manuali e strumenti avanzati di rilevamento delle frodi per proteggere gli utenti. Ha anche lanciato iniziative come la campagna Smarter Than Scams, insieme ad altre, per aumentare la consapevolezza sulle tendenze comuni delle frodi.

Ma il nocciolo della questione è che, a prescindere dal numero di salvaguardie messe in atto, la miglior difesa siete voi. Siate accorti, fidatevi del vostro istinto e ricordate: se qualcosa vi sembra strano, probabilmente lo è.

In conclusione: Essere vigili

I truffatori possono anche tornare indietro nel tempo, ma questo non significa che dobbiamo cadere nei loro tranelli. Rimanendo informati e seguendo alcuni semplici accorgimenti, è possibile superare in astuzia anche il più astuto dei truffatori. Quindi, la prossima volta che ricevete un'e-mail che puzza di bruciato, non abboccate. Invece, siate voi ad attirare il truffatore, segnalandolo e proseguendo la vostra giornata senza truffe.

Dopo tutto, il modo migliore per sconfiggere un truffatore è fare in modo che sia lui a sentirsi in colpa. E onestamente, non c'è niente di più soddisfacente di questo.