Netcrook Logo
👤 CRYSTALPROXY
🗓️ 16 Jan 2026  

“Spunta blu, trucco nero”: il sistema di fatture verificate di PayPal dirottato in una sofisticata truffa di phishing

I cybercriminali sfruttano la funzione di fatturazione affidabile di PayPal, trasformando la “spunta blu” in un’esca per attirare le vittime in trappole di callback phishing.

Quando la “spunta blu” di PayPal compare nella tua casella di posta, dovrebbe significare sicurezza. Ma per un numero crescente di utenti, quell’icona è ormai un lupo travestito da agnello - e l’ultima arma nell’arsenale dei cybercriminali. Con una svolta astuta, i truffatori inviano fatture PayPal autentiche, supportate da una verifica reale, ma con un dettaglio sinistro: l’unica cosa davvero autentica è il panico che provocano.

L’anatomia di un phish “senza phish”

Dimentica la grammatica sgangherata e i link sospetti del phishing vecchio stile. Questa nuova truffa è tanto curata quanto pericolosa. Ecco il copione: i cybercriminali creano un account business su PayPal e usano la sua vera funzione “Richiesta di denaro” o “Fattura” per inviare email indistinguibili da quelle legittime. Poiché le email provengono dai server di PayPal, superano tutti i moderni controlli di autenticazione - incluse SPF, DKIM e DMARC - e vengono contrassegnate come verificate dai client di posta.

Il trucco non sta nel link della fattura in sé. Il vero pericolo, invece, è nascosto nella sezione “Nota al cliente”. Qui i truffatori affermano che al tuo account è stata addebitata una somma elevata e ti esortano a chiamare un numero di “assistenza” - che porta dritto a un call center truffaldino. La fattura può persino essere indirizzata a un gruppo generico o a un indirizzo sconosciuto, aumentando confusione e panico.

Callback phishing: la nuova frontiera del social engineering

Una volta che la vittima chiama il numero fasullo, inizia il vero colpo. I truffatori, fingendosi l’assistenza PayPal, possono chiedere l’accesso remoto al tuo computer o guidarti a rivelare credenziali bancarie sensibili. In alcuni casi, creano un senso di urgenza o confusione, convincendoti a “stornare” un addebito trasferendo fondi - denaro che finisce direttamente nelle loro tasche.

Questo metodo, noto come callback phishing, è particolarmente insidioso perché aggira la maggior parte delle difese tecniche. La fattura è reale, il mittente è verificato e l’unico indizio è il numero di telefono stesso - un dettaglio facile da non notare anche per gli utenti più attenti.

Restare un passo avanti

PayPal ha risposto rapidamente alle segnalazioni, rimuovendo le fatture fraudolente e avvisando gli utenti. Ma finché gli attaccanti potranno sfruttare piattaforme affidabili, la vigilanza resta la migliore difesa. Non chiamare mai numeri né cliccare link provenienti da fatture inattese. Accedi invece a PayPal digitando l’indirizzo direttamente nel browser e controlla il tuo account per eventuali richieste non autorizzate. Segnala le fatture sospette ed educa chi ti sta intorno: nell’era dell’inganno della “spunta blu”, la fiducia va guadagnata, non data per scontata.

Conclusione: fidati, ma verifica sempre

Questa truffa è un campanello d’allarme: anche i messaggi che sembrano più sicuri possono essere manipolati. Quando i cybercriminali usano la legittimità di marchi affidabili come mimetizzazione, solo un’analisi attenta può tenerti al sicuro. In questa nuova era di truffe “verificate”, la migliore difesa è lo scetticismo - abbinato alla diligenza di una volta.

WIKICROOK

  • Phishing: Il phishing è un crimine informatico in cui gli attaccanti inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
  • BIMI (Brand Indicators for Message Identification): BIMI è uno standard di sicurezza email che mostra loghi di brand verificati nelle caselle di posta, aiutando gli utenti a identificare email autentiche ed evitare il phishing.
  • SPF (Sender Policy Framework): Un metodo di autenticazione email che verifica se un server di posta è autorizzato a inviare messaggi per un determinato dominio.
  • Callback Phishing: Il callback phishing usa numeri di telefono falsi nei messaggi per indurre le vittime a chiamare i truffatori, che poi rubano informazioni o denaro tramite social engineering.
  • Social Engineering: Il social engineering è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.
PayPal phishing scam callback phishing
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news