Como lo indica el título, el siguiente es un correo real de PayPal que tiene toda la pinta de ser falso. Me llegó ayer luego de realizar una compra, como la tarjeta asociada a la cuenta no tenía saldo se envió la siguiente alerta:
Por un segundo me hizo dudar, pues el mensaje incluye un enlace y solicita agregar una tarjeta de crédito! pero es legítimo, el destino del enlace es PayPal, el correo está personalizado y coincide con la compra fallida. Pero más allá de eso, es un completo error que envíen alertas así.
Se contradice con toda regla básica de seguridad, están enviando un link por correo para que inicie sesión y agregue una tarjeta de crédito ¿? (a los spammers se les cae la baba con este tipo de cosas)… encima la URL es media extraña, comienza con un email0.paypal.com y termina codificada.
¿No sería mejor simplemente enviar el mensaje sin enlaces y pedir que se escriba paypal.com en el navegador? claro, para facilitarme la tarea de acceder al sitio y loguearme el enlace está bárbaro, pero dejar que sea el usuario el que decida si un enlace es real o no es UN ERROR con mayúsculas cuando se trata de entidades financieras.
PayPal es uno de los servicios más afectados por el phishing y este tipo de cosas ayudan a que sea más sencillo engañar a los usuarios.
Pero esto no es nuevo, googleando me encontré con una nota del 2010 en The Register donde comentan lo mismo y en el blog de Eset una del 2009! es decir, lo hacen desde hace tiempo y por lo que leí para PayPal está bien que sea así.
Ver también:
Phishing de PayPal con adjunto HTML.
¿Paypal Limitation Remover? mejor no intentes cosas extrañas.