Un correo real de PayPal que parece phishing #fail

Como lo indica el título, el siguiente es un correo real de PayPal que tiene toda la pinta de ser falso. Me llegó ayer luego de realizar una compra, como la tarjeta asociada a la cuenta no tenía saldo se envió la siguiente alerta:

correo-paypal(clic para ver más grande)

Por un segundo me hizo dudar, pues el mensaje incluye un enlace y solicita agregar una tarjeta de crédito! pero es legítimo, el destino del enlace es PayPal, el correo está personalizado y coincide con la compra fallida. Pero más allá de eso, es un completo error que envíen alertas así.

Se contradice con toda regla básica de seguridad, están enviando un link por correo para que inicie sesión y agregue una tarjeta de crédito ¿? (a los spammers se les cae la baba con este tipo de cosas)… encima la URL es media extraña, comienza con un email0.paypal.com y termina codificada.

¿No sería mejor simplemente enviar el mensaje sin enlaces y pedir que se escriba paypal.com en el navegador? claro, para facilitarme la tarea de acceder al sitio y loguearme el enlace está bárbaro, pero dejar que sea el usuario el que decida si un enlace es real o no es UN ERROR con mayúsculas cuando se trata de entidades financieras.

PayPal es uno de los servicios más afectados por el phishing y este tipo de cosas ayudan a que sea más sencillo engañar a los usuarios.

Pero esto no es nuevo, googleando me encontré con una nota del 2010 en The Register donde comentan lo mismo y en el blog de Eset una del 2009! es decir, lo hacen desde hace tiempo y por lo que leí para PayPal está bien que sea así.

Ver también:
Phishing de PayPal con adjunto HTML.
¿Paypal Limitation Remover? mejor no intentes cosas extrañas.

5 comentarios en «Un correo real de PayPal que parece phishing #fail»

  1. @CyberPlant, estoy de acuerdo con todos los demás comentarios, no creo que hayas podido ver los números de cuenta de los usuarios, sin embargo no dudo que paypal tenga brechas grandes de seguridad empezando por lo que comentan en este post

    Responder
  2. @CyberPlant, no se lo que habrás visto, pero los números de tarjetas los tienen en una base de datos y está encriptada, o sea, nunca van a aparecer en el código fuente de una página, ni siquiera la propia tarjeta del usuario aparece, para evitar que sea robada en caso de que alguien acceda a su cuenta.

    Saludos.

    Responder
  3. No me sorprende.. hace un tiempo encontré un error bastaaante grave sin querer en paypal, que haciendo una cierta cosa que ahora no recuerdo te mandaba a una pagina de error en el cual aparecia una lista con numeros de tarjetas de credito y nombres de personas.. una lista ENORME!!!! :S

    Lo reporté y me dijeron que yo simplemente me fijara lo que me correspondía a mi y que eso no estaba mal…

    Yo me di cuenta de chusma.. porque la pagina demoro bastante en abrir y puse 'ver codigo fuente'..

    En fin..

    Responder

Deja un comentario