Waspada Penipuan Email: Fitur Langganan PayPal Disalahgunakan untuk Kirim Notifikasi Pembelian Palsu

Sebuah modus penipuan email baru terungkap dengan memanfaatkan fitur Subscriptions milik PayPal. Dalam skema ini, pelaku menyalahgunakan sistem penagihan langganan untuk mengirim email resmi PayPal yang berisi notifikasi pembelian palsu, sehingga tampak seolah-olah korban telah melakukan transaksi bernilai besar.

Dalam beberapa bulan terakhir, banyak pengguna melaporkan menerima email dari PayPal dengan subjek pemberitahuan bahwa pembayaran otomatis mereka telah dihentikan. Sekilas, pesan tersebut terlihat sah karena dikirim langsung dari alamat resmi PayPal. Namun, di dalamnya terdapat kejanggalan yang menjadi inti dari penipuan ini.

Modifikasi Tersembunyi pada Kolom Layanan Pelanggan

Email tersebut menyertakan kolom Customer Service URL yang telah dimanipulasi. Alih-alih hanya berisi tautan layanan pelanggan, kolom ini diisi dengan teks panjang yang menyatakan bahwa pengguna telah membeli perangkat mahal, seperti MacBook, iPhone, atau perangkat elektronik lainnya.

Pesan palsu tersebut biasanya mencantumkan nama domain acak, klaim pembayaran antara 1.300 hingga 1.600 dolar AS, serta nomor telepon yang diklaim sebagai layanan dukungan PayPal untuk membatalkan atau menggugat transaksi. Untuk menghindari deteksi sistem keamanan email, teks tersebut dipenuhi karakter Unicode yang membuat sebagian tulisan tampak tebal atau menggunakan font tidak lazim.

Karena email dikirim langsung dari alamat resmi PayPal, banyak penerima yang khawatir akun mereka telah diretas. Selain itu, email ini juga berhasil melewati filter spam dan sistem keamanan email karena secara teknis merupakan pesan sah dari server PayPal.

Tujuan Utama: Menjebak Korban agar Menghubungi Penipu

Tujuan dari email ini adalah menciptakan kepanikan. Korban dibuat percaya bahwa akun mereka telah digunakan untuk membeli barang mahal, lalu diarahkan untuk menghubungi nomor telepon palsu yang diklaim sebagai dukungan PayPal.

Modus semacam ini telah lama digunakan dalam berbagai skema penipuan, mulai dari pencurian data perbankan hingga upaya mengelabui korban agar memasang perangkat lunak berbahaya di komputer mereka.

Jika menerima email PayPal yang menyatakan pembayaran otomatis tidak aktif namun disertai konfirmasi pembelian mencurigakan, pengguna disarankan untuk mengabaikannya dan tidak menghubungi nomor yang tercantum. Untuk memastikan keamanan akun, langkah terbaik adalah masuk langsung ke akun PayPal dan memeriksa riwayat transaksi.

Cara Penipu Mengirim Email Resmi PayPal

Investigasi menunjukkan bahwa email tersebut memang dikirim langsung dari server PayPal dan lolos pemeriksaan keamanan seperti DKIM, SPF, dan DMARC. Setelah melakukan pengujian, diketahui bahwa template email yang sama dapat dihasilkan dengan memanfaatkan fitur Subscriptions PayPal.

Fitur ini memungkinkan pedagang membuat sistem langganan bagi pelanggan. Ketika langganan dijeda oleh pedagang, PayPal secara otomatis mengirim email pemberitahuan bahwa pembayaran otomatis tidak lagi aktif.

Namun, saat diuji secara normal, PayPal hanya mengizinkan URL valid di kolom Customer Service URL. Hal ini mengindikasikan bahwa pelaku kemungkinan mengeksploitasi celah dalam pengelolaan metadata langganan, atau menggunakan metode tertentu seperti API atau platform lama yang masih mengizinkan penyimpanan teks tidak valid di kolom tersebut.

Distribusi Email ke Banyak Korban

Yang masih menjadi tanda tanya adalah bagaimana email tersebut bisa sampai ke orang-orang yang tidak pernah mendaftar langganan PayPal. Analisis header email menunjukkan bahwa pesan awalnya dikirim ke alamat email tertentu yang diduga merupakan akun pelanggan palsu buatan penipu.

Alamat email tersebut kemungkinan merupakan milis Google Workspace yang secara otomatis meneruskan setiap email masuk ke seluruh anggota grup. Dengan cara ini, satu email resmi dari PayPal dapat diteruskan ke banyak target sekaligus.

Tanggapan Resmi PayPal

PayPal telah mengonfirmasi bahwa mereka sedang melakukan mitigasi terhadap metode yang digunakan dalam penipuan ini. Perusahaan menegaskan tidak mentoleransi aktivitas penipuan dan terus berupaya melindungi pengguna dari ancaman phishing yang terus berkembang.

Pengguna juga diimbau untuk selalu waspada terhadap pesan yang tidak terduga dan menghubungi dukungan pelanggan hanya melalui aplikasi resmi PayPal jika mencurigai adanya aktivitas penipuan.