Penipuan email menyalahgunakan fitur penagihan “Langganan” PayPal untuk mengirim email PayPal sah yang berisi pemberitahuan pembelian palsu yang tertanam di bidang URL layanan pelanggan.
Selama beberapa bulan terakhir, orang-orang telah melaporkan[[1, 2]menerima email dari PayPal yang menyatakan, “Pembayaran otomatis Anda tidak lagi aktif.”
Email tersebut menyertakan bidang URL layanan pelanggan yang entah bagaimana dimodifikasi untuk menyertakan pesan yang menyatakan bahwa Anda membeli barang mahal, seperti perangkat Sony, MacBook, atau iPhone.
Teks ini mencakup nama domain, pesan yang menyatakan bahwa pembayaran sebesar $1.300 hingga $1.600 telah diproses (jumlahnya bervariasi berdasarkan email), dan nomor telepon untuk membatalkan atau menyengketakan pembayaran tersebut. Teks diisi dengan karakter Unicode yang membuat bagian tampak tebal atau dalam font yang tidak biasa, sebuah taktik yang digunakan untuk mencoba menghindari filter spam dan deteksi kata kunci.
“http: //[domain] [domain] Pembayaran sebesar $1346,99 telah berhasil diproses. Untuk pembatalan dan pertanyaan, Hubungi dukungan PayPal di +1-805-500-6377,” membaca URL layanan pelanggan di email penipuan.
Sumber: BleepingComputer
Meskipun ini jelas merupakan penipuan, email tersebut dikirim langsung oleh PayPal dari alamat “service@paypal.com”, sehingga membuat orang khawatir akun mereka mungkin telah diretas.
Selain itu, karena email tersebut adalah email PayPal yang sah, email tersebut melewati filter keamanan dan spam. Di bagian selanjutnya, kami akan menjelaskan bagaimana penipu mengirim email ini.
Tujuan dari email ini adalah untuk mengelabui penerima agar mengira akun mereka membeli perangkat mahal dan menakut-nakuti mereka agar menghubungi nomor telepon “dukungan PayPal” si penipu.
Email seperti ini secara historis digunakan untuk meyakinkan penerima agar menghubungi suatu nomor melakukan penipuan bank atau mengelabui mereka menginstal malware di komputer mereka.
Oleh karena itu, jika Anda menerima email sah dari PayPal yang menyatakan pembayaran otomatis Anda tidak lagi aktif, dan berisi konfirmasi pembelian palsu, abaikan email tersebut dan jangan hubungi nomor tersebut.
Jika Anda khawatir akun PayPal Anda telah disusupi, masuklah ke akun Anda dan konfirmasikan bahwa tidak ada biaya.
Cara kerja penipuan PayPal
BleepingComputer telah dikirimi salinan email dari seseorang yang menerimanya dan merasa aneh bahwa penipuan tersebut berasal dari alamat email “service@paypal.com” yang sah.
Selain itu, header email menunjukkan bahwa email tersebut sah, lulus pemeriksaan keamanan email DKIM dan SPF, dan berasal langsung dari server email “mx15.slc.paypal.com” PayPal, seperti yang ditunjukkan di bawah ini.
ARC-Authentication-Results: i=1; mx.google.com; dkim=pass header.i=@paypal.com header.s=pp-dkim1 header.b="AvY/E1H+"; spf=pass (google.com: domain of service@paypal.com designates 173.0.84.4 as permitted sender) smtp.mailfrom=service@paypal.com; dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=paypal.com Received: from mx15.slc.paypal.com (mx15.slc.paypal.com. [173.0.84.4]) by mx.google.com with ESMTPS id a92af1059eb24-11dcb045a3csi5930706c88.202.2025.11.28.09.14.49 for (version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256); Fri, 28 Nov 2025 09:14:49 -0800 (PST)
Setelah menguji berbagai fitur penagihan PayPal, BleepingComputer mampu mereplikasi template email yang sama dengan menggunakan fitur “Langganan” PayPal dan menjeda pelanggan.
Langganan PayPal adalah fitur penagihan yang memungkinkan pedagang membuat opsi pembayaran langganan bagi orang-orang untuk berlangganan layanan dengan jumlah tertentu.
Ketika pedagang menjeda langganan pelanggan, PayPal akan secara otomatis mengirim email kepada pelanggan untuk memberi tahu mereka bahwa pembayaran otomatis mereka tidak lagi aktif.
Namun, ketika BleepingComputer mencoba meniru penipuan dengan menambahkan teks selain URL ke URL Layanan Pelanggan, PayPal akan menolak perubahan tersebut karena hanya URL yang diperbolehkan.
Oleh karena itu, tampaknya para penipu mengeksploitasi kelemahan dalam penanganan metadata langganan PayPal atau menggunakan metode, seperti API atau platform lama yang tidak tersedia di semua wilayah, yang memungkinkan teks yang tidak valid disimpan di bidang URL layanan pelanggan.
Sekarang kita tahu bagaimana mereka menghasilkan email dari PayPal, masih belum jelas bagaimana email itu dikirim ke orang-orang yang tidak mendaftar untuk berlangganan PayPal.
Header email menunjukkan bahwa PayPal sebenarnya mengirimkan email ke alamat “receipt3@bbcpaglomoonlight.studio”, yang kami yakini adalah alamat email yang terkait dengan pelanggan palsu yang dibuat oleh penipu.
Akun ini kemungkinan merupakan milis Google Workspace, yang secara otomatis meneruskan email apa pun yang diterimanya ke semua anggota grup lainnya. Dalam hal ini, anggotanya adalah orang-orang yang diincar oleh penipu.
Penerusan ini dapat menyebabkan semua pemeriksaan SPF dan DMARC berikutnya gagal, karena email diteruskan oleh server yang bukan pengirim aslinya.
Saat BleepingComputer menghubungi PayPal untuk menanyakan apakah masalah ini telah diperbaiki, mereka menolak berkomentar dan malah membagikan pernyataan berikut.
“PayPal tidak mentolerir aktivitas penipuan dan kami bekerja keras untuk melindungi pelanggan kami dari taktik penipuan yang terus berkembang,” kata PayPal kepada BleepingComputer.
“Kami menyadari penipuan phishing ini dan mendorong masyarakat untuk selalu waspada saat online dan waspada terhadap pesan-pesan tak terduga. Jika pelanggan curiga bahwa mereka adalah target penipuan, kami sarankan mereka menghubungi Dukungan Pelanggan secara langsung melalui aplikasi PayPal atau halaman Kontak kami untuk mendapatkan bantuan.”
Hancurkan silo IAM seperti Bitpanda, KnowBe4, dan PathAI
IAM yang rusak bukan hanya masalah TI – dampaknya akan berdampak pada seluruh bisnis Anda.
Panduan praktis ini membahas mengapa praktik IAM tradisional gagal memenuhi tuntutan modern, contoh seperti apa IAM yang “baik”, dan daftar periksa sederhana untuk membangun strategi yang terukur.
