I ricercatori di sicurezza di Malwarebytes hanno documentato il meccanismo ad aprile 2026. I truffatori effettuano un bonifico da un yen giapponese — meno di un centesimo di euro — verso l’account della vittima.
Questo pagamento minimo innesca in automatico la notifica ufficiale di PayPal. La parte manipolata non è il corpo dell’email, ma l’oggetto: invece del testo standard, compare un avviso come “Addebito in sospeso di 987,90 USD per attivazione account”, accompagnato da un numero di telefono da contattare. Come venga alterato l’oggetto prima che i sistemi di PayPal firmino digitalmente il messaggio non è ancora chiaro. Quello che è certo è che la firma digitale risulta valida.
La nuova truffa su PayPal
L’email contiene anche il nome reale del destinatario e un ID transazione autentico. Questi elementi — nome e codice univoco — aumentano la credibilità del messaggio in modo significativo. Un filtro antispam non trova nulla da bloccare. Un utente attento all’indirizzo del mittente non trova nulla di sospetto.
Chi chiama il numero nell’oggetto non raggiunge PayPal. Raggiunge un operatore di falso supporto tecnico che finge di essere un dipendente della piattaforma. La conversazione punta a ottenere credenziali di accesso o, in alternativa, il permesso di installarsi in remoto sul computer della vittima — per fare, a quel punto, tutto il necessario senza che l’utente possa intervenire.
Questa non è la prima variante della truffa. A dicembre 2025, Malwarebytes aveva già documentato un meccanismo simile, sfruttando la funzione abbonamenti di PayPal: i truffatori creavano un abbonamento e lo sospendevano immediatamente, attivando così la notifica automatica della piattaforma. PayPal aveva chiuso quella specifica falla.
La nuova variante sfrutta un’altra caratteristica del sistema, dimostrando che il problema non è una singola vulnerabilità ma un approccio strutturale: qualsiasi funzionalità che consenta a un utente esterno di influenzare il contenuto di un’email generata automaticamente diventa potenzialmente uno strumento di frode.
Il punto controintuitivo è che controllare l’indirizzo del mittente — consiglio ripetuto da anni come primo strumento di difesa contro il phishing — qui non serve. L’indirizzo è corretto. Il server è quello giusto. Il protocollo di autenticazione è soddisfatto. Le tecniche tradizionali di verifica non rilevano nulla di anomalo perché tecnicamente non c’è nulla di anomalo, salvo l’oggetto.
La difesa pratica è diversa da quella contro il phishing classico. Il numero di telefono nell’oggetto di un’email PayPal non è mai quello ufficiale: PayPal non inserisce numeri di telefono negli oggetti delle sue comunicazioni. Qualsiasi importo anomalo va verificato direttamente accedendo all’account PayPal dal browser, non tramite link o numeri ricevuti via email. In caso di accesso remoto richiesto da un interlocutore telefonico, la risposta corretta è sempre di terminare la chiamata.
Il caso è emerso in modo strutturato negli Stati Uniti, ma la meccanica non richiede adattamenti significativi per funzionare in altri mercati. Il numero di telefono cambia, la valuta indicata nella truffa cambia. Il resto rimane identico.
Secondo i ricercatori, l’email ricevuta dalle vittime contiene dettagli personalizzati — il nome reale del destinatario e un ID transazione autentico — che la distinguono da un normale tentativo di phishing di massa. La piattaforma conta oltre 400 milioni di utenti attivi nel mondo, il che rende qualsiasi vulnerabilità nel sistema di notifica una superficie di attacco di dimensioni rilevanti.