Един имейл, изпратен от реален домейн, преминал всички проверки за автентичност, може да изглежда като гаранция за сигурност. Последен случай с PayPal показва как точно това усещане създава входна точка за потенциален пробив.
Как работи схемата
Атаката използва напълно легитимна функционалност на PayPal. Нападател регистрира бизнес акаунт и изпраща минимална сума – в случая 0.12 филипински песо (0.0017 EUR). Ключовият елемент се крие в полето за описание, което PayPal използва като тема на имейла.
Резултатът: реален имейл от paypal.com със заглавие за „pending deposit“ от $987.90 и телефонен номер за контакт.
Какво вижда потребителят
- Имейл с валидни SPF, DKIM и DMARC
- Легитимен подател – paypal.com
- Спешно съобщение за почти $1000
- Телефонен номер, който изглежда легитимен
Съдържанието в тялото на имейла показва реалната малка транзакция, но вниманието вече е насочено към заглавието.
Къде се случва пробивът
Сценарият продължава извън имейла. Обаждането към посочения номер свързва жертвата с атакуващ, който представя процес за „анулиране“ на плащането. В следващите стъпки често се стига до:
- отдалечен достъп до устройство
- иницииране на банков превод
- закупуване на gift карти
Това превръща иначе безобиден имейл в реален риск за пробив.
Защо атаката е ефективна
- Преминава всички технически проверки – имейлът е автентичен
- Използва доверие в бранд – PayPal като източник
- Експлоатира човешкото внимание – темата се чете първа
- Създава спешност – почти $1000 „очакват действие“
Практиката показва, че дори добре обучени екипи могат да бъдат подведени, когато атаката използва легитимна инфраструктура. Затова, 3 пъти мерим, веднъж режем.
Автентикацията гарантира произхода на имейла. Съдържанието обаче изисква отделна преценка. Легитимни системи могат да бъдат използвани като канал за злонамерени действия, което създава домино ефект в киберсигурността – от една малка транзакция до потенциален пробив.

