⚠️ Phishing: segnalazioni truffe online

[Andrea@Mac]

mittente: service@paypal.com

destinatario: noreply131@devlepa.academy

oggetto: Payment Warning: A transaction of $815.10 to Coinbase Inc was detected.If this wasn’t you, please call (888) 378- 0237 to stop the payment.
Protecting you from fraud is our priority. invited you as a developer

link email: https://www.paypal.com/us/webapps/mpp/a ... -selection

DKIM-Signature: v=1; a=rsa-sha256; d=paypal.com; s=pp-dkim1; c=relaxed/relaxed; q=dns/txt; i=@paypal.com
header.from=paypal.com
smtp.mailfrom=service@paypal.com
Authentication-Results: spf=softfail (sender IP is 2607:f8b0:4864:20::545)
smtp.mailfrom=paypal.com; dkim=pass (signature was verified)
header.d=paypal.com;dmarc=pass action=none header.from=paypal.com;
Return-Path: <service@paypal.com>
envelope-from <service@paypal.com>

Testo email: Payment Warning: A transaction of $815.10 to Coinbase Inc was detected.If this wasn’t you, please call (888) 378- 0237 to stop the payment. Protecting you from fraud is our priority. invited you as a developer
You have an invite from Payment Warning: A transaction of $815.10 to Coinbase Inc was detected.If this wasn’t you, please call (888) 378- 0237 to stop the payment. Protecting you from fraud is our priority.
Ready to get coding? Create a PayPal account to review the invite. (It expires in 30 days!)



È una mail AUTENTICA da PayPal
il Link manda alla creazione di un account PayPal

[Andrea@Mac]

Ottima osservazione. Il fatto che il link punti a un vero URL PayPal è interessante, ma non significa necessariamente che l'email sia legittima. Ti spiego perché:

Cosa significa un link PayPal "vero"?
Il link che mi hai dato sembra puntare davvero a https://www.paypal.com, quindi in teoria è sicuro. Tuttavia, ci sono alcuni possibili scenari:

1. Il link è vero, ma usato in un contesto falso
I truffatori a volte includono un link legittimo come esca, per farti abbassare la guardia. Poi:
• Ti inducono a chiamare il numero (la vera truffa è telefonica)
• Oppure ti mandano altri link veramente falsi in un secondo momento

2. Il messaggio è costruito automaticamente da un invito PayPal (vero), ma per un altro account
Il fatto che il destinatario sia noreply131@devlepa.academy (che non sei tu) suggerisce che:
• Qualcuno ha fatto un invito sviluppatore su PayPal a quell’indirizzo
• E l’email ti è arrivata per errore, o sei stato incluso in BCC in modo sospetto

3. Il contenuto è confuso e ingannevole
Un vero invito sviluppatore da PayPal non includerebbe un messaggio allarmante come “Payment Warning: A transaction of $815.10…”. Questo mix tra un avviso di transazione e un invito sviluppatore non ha senso e indica che l’email è falsificata o manipolata.

Conclusione sicura:
Anche se il link è valido, l’email nel suo insieme è sospetta e potenzialmente fraudolenta, perché:
• È inviata a un indirizzo che non è tuo
• Contiene un messaggio allarmante (tipico del phishing)
• Invita a chiamare un numero non ufficiale
• Mischia contenuti incoerenti (invito sviluppatore + transazione urgente)

Cosa ti consiglio:
1. Non cliccare ulteriormente
2. Non inserire credenziali
3. Non chiamare il numero
4. Inoltra l’email a phishing@paypal.com
5. Se hai un conto PayPal, accedi solo dal sito ufficiale e controlla se c'è davvero una transazione da $815,10 (probabilmente no)
Se vuoi posso anche verificare a chi appartiene il numero (888) 378-0237, per capire se è noto come numero truffa. Vuoi che lo controlli?

[Andrea@Mac]

In pratica i truffatori ti spingono a creare un account PayPal reale al quale poi ti invieranno un link phishing oppure ti invitano a chiamare per ricevere i soldi e ne segue una truffa telefonica alla quale seguirà un link, un messaggio, un SMS, una mail o altro.
È comunque una truffa davvero sconcertante, perché hanno raggirato i record dns, dkim, spf, di verifica e certifica @paypal.com
Oltretutto il link al quale indirizzano è proprio PayPal!
Truffa fantastica!
Tutti i link della mail sono legittimi. La truffa avviene su PAYPAL tramite la piattaforma PAYPAL.
Così com'è avvenuto recentemente attraverso Amazon.

[Andrea@Mac]

Hai colto esattamente il meccanismo della truffa. Complimenti: la tua analisi è molto lucida e corretta. Ecco una spiegazione chiara di cosa (molto probabilmente) sta succedendo:
Schema della truffa in atto (step by step)
1. Ti inviano un'email che sembra da PayPal, con un link autentico (per abbassare la guardia) ma che porta a creare un nuovo account PayPal.
2. Il link contiene un codice univoco o referral legato a un invito creato da loro — magari un invito sviluppatore o merchant.
3. Una volta che crei l'account PayPal usando quel link, loro possono:
o Identificarti come persona che ha risposto
o Associare il tuo account a una “app truffa” (magari con permessi)
o Usarti per altre frodi (es. schema di riciclaggio, finte vendite, donazioni, ecc.)
4. Dopo che hai creato l’account, ti contattano:
o Dicono che ti stanno per mandare soldi, ma sono “bloccati”
o Ti forzano a cliccare link o chiamare qualcuno per “sbloccarli”
o A quel punto, inizia il vero danno: phishing attivo, furto di dati, accesso remoto, ecc.
Obiettivo finale della truffa:
• Rubarti soldi
• Prendere il controllo del tuo account o dei tuoi dispositivi
• Usarti come “complice” involontario in frodi o riciclaggio (molto pericoloso legalmente)
Cosa fare ora:
Hai già fatto il passo giusto:
• Non hai cliccato nulla
• Non hai creato nessun account PayPal dal loro link
• Hai intuito correttamente il trucco
Ti consiglio anche:
1. Non interagire più con quell’email
2. Inoltrala a phishing@paypal.com con una nota breve tipo:
“Ho ricevuto questa email sospetta con un invito a creare un account PayPal, contenente messaggi ingannevoli e un presunto pagamento. Segnalo per verifica.”
3. Se sei curioso, puoi anche:
o Visitare PayPal da browser pulito e sicuro (mai dal link)
o Creare un account tu stesso se ne hai bisogno (ma mai usando link ricevuti via email)
Se ricevi email simili in futuro
Se hai una casella Gmail, Outlook, o simili, puoi anche:
• Contrassegnarle come phishing direttamente dal menu
• Attivare filtri per bloccare numeri sospetti, o domini non standard come devlepa.academy

[Andrea@Mac]

Testo in Italiano
Oggetto: Segnalazione tentativo di phishing con finta email da PayPal
Buongiorno,
desidero segnalare un caso sospetto di phishing che ho ricevuto via email.
Ho ricevuto un messaggio apparentemente inviato da “service@paypal.com” con il seguente oggetto:
"Payment Warning: A transaction of $815.10 to Coinbase Inc was detected. If this wasn’t you, please call (888) 378-0237 to stop the payment."
Il contenuto dell’email combina:
• Un presunto avviso urgente di pagamento non autorizzato
• Un numero di telefono da contattare (non ufficiale)
• Un link che rimanda a un URL PayPal apparentemente legittimo, ma che invita a creare un nuovo account tramite un sistema di invito per sviluppatori
La cosa sospetta è che:
• L’indirizzo email destinatario non è il mio, ma ad esempio noreply131@devlepa.academy, il che indica un uso di invio massivo o indirizzamento in copia nascosta (BCC)
• Il contenuto è incoerente e manipolatorio: unisce un allarme di sicurezza con un invito a registrarsi su PayPal, cosa che non ha senso in un contesto ufficiale
• Si sospetta che, una volta creato l’account tramite quel link, l’utente venga contattato o guidato verso ulteriori azioni fraudolente (es. falsa ricezione di fondi, link per "sbloccare il denaro", o richieste telefoniche fraudolente)
Ritengo che il dominio devlepa.academy sia utilizzato in modo abusivo in questo contesto, e chiedo cortesemente di verificarne l’utilizzo sul vostro sistema.
Grazie per l'attenzione.
Cordiali saluti,
[Il tuo nome]

[Andrea@Mac]

English Version
Subject: Phishing Attempt Report – Fake PayPal Email
Hello,
I would like to report a suspicious phishing attempt I received via email.
I received a message that appeared to come from “service@paypal.com” with the subject:
"Payment Warning: A transaction of $815.10 to Coinbase Inc was detected. If this wasn’t you, please call (888) 378-0237 to stop the payment."
The email content included:
• A fake urgent transaction alert
• A phone number to call (not official)
• A link pointing to a legitimate-looking PayPal URL, inviting the user to create a new PayPal account via a developer invitation system
However, the suspicious aspects include:
• The recipient address is not mine (e.g. noreply131@devlepa.academy), indicating mass mailing or hidden recipients (BCC)
• The content is incoherent and manipulative, mixing a fraudulent warning with a sign-up request – something not typical of official PayPal communication
• It is likely that once the new PayPal account is created via this unique link, the user may be contacted with further fraudulent steps (e.g. blocked funds, fake support, or scam calls)
I suspect that the domain devlepa.academy is being misused for malicious purposes and kindly ask you to investigate its activity on your systems.
Thank you for your attention.
Best regards,
[Your Name]

[spegahsheen]

...magari un invito sviluppatore o merchant.

Un invito sviluppatore significa un invito pubblicitario?

[Andrea@Mac]

...magari un invito sviluppatore o merchant.

Un invito sviluppatore significa un invito pubblicitario?

È fuorviante e con più significati.

Ti portano a creare un nuovo account legittimo PayPal dal quale poi partono i tentativi di truffe.

Ho avvisato il provider di servizi internet hosting e direttamente PayPal.
Inoltrando il txt del codice sorgente delle mail ricevute, screen, pdf email.
Ringraziano ed hanno già intrapreso azioni verso chi ha generato i messaggi, relativi server, account (il)legittimi PayPal.
Il provider ha già bloccato nel firewall i server utilizzati. PayPal bloccherà gli account. Adesso cercheranno di risalire alle persone.
Sto leggendo adesso le loro risposte.

[Curzio]

Gira sulla rete la notizia di una fantomatica puntata di Presa diretta di Iacona, censurata per motivi strategici. Addirittura è fornito un link a una pagina (fake) di Repubblica (la metto di seguito) dove è illustrata tutta la vicenda, ma... giudicate voi (e qualcuno faccia un'analisi approfondita sul link). Non ci vuole un'aquila, ma è davvero insidiosa perché molto ben fatta!

https://simpleearthpet.com/?utm_id=Wn2b ... 6161d34748

[mattleega]

Bloccato anche il tuo link.

[Curzio]

Bloccato anche il tuo link.

Già, vedo adesso, io però avevo fatto tempo a leggerla…
Per riassumere brevemente: in forma di intervista allo stesso Iacona, la puntata di Presa Diretta avrebbe svelato possibilità di investimento normalmente taciute e occultate al piccolo e medio investitore per favorire i grandi investitori nascosti. Si dava link al fondo di investimento e si sciorinavano cifre (anche addirittura una credibile copia della lettera di sospensione/censura/distruzione della puntata da parte della dirigenza RAI).

[Andrea@Mac]

simpleearthpet.com

Registrato ad hoc proprio ieri!
Addirittura in molti database whois non sono nemmeno presenti i dati pubblici.

simpleearthpet.com
Whois info
Domain Name: SIMPLEEARTHPET.COM
Registry Domain ID: 3003443559_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois-service.virtualcloud.co
Registrar URL: http://sav.com
Updated Date: 2025-07-24T06:43:51Z
Creation Date: 2025-07-24T06:42:44Z
Registry Expiry Date: 2026-07-24T06:42:44Z
Registrar: Sav.com, LLC
Registrar IANA ID: 609
Registrar Abuse Contact Email: abuse-contact@sav.com
Registrar Abuse Contact Phone: +1.8885808790
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: ALGIN.NS.CLOUDFLARE.COM
Name Server: LORNA.NS.CLOUDFLARE.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2025-07-25T11:05:17Z <<<

[J.T.Kirk]

Da alcuni giorni ricevo mail da un fantomatico servizio di newsletters che me le manda all'indirizzo che ho dato "solo" a PayPal.
Mittente: offres@news.tuapromogazzetta.it
Promo prestito, superfibra W3, Tim Fibra, Sondaggi retribuiti, Tuapromogazzetta consiglia DAZN, ecc...

Appena sopra il messaggio appare una barra di mail con l'indicazione che "il messaggio fa parte di una mailing List" e a destra c'è la voce "annulla l'iscrizione".








Hanno bucato PayPal per avere la mail degli utenti o le avrà cedute PayPal stessa?
Se avessero bucato Yahoo riceverei mail da ogni indirizzo utilizzato.

Intanto cambierò la mail data a PayPal e cancello la vecchia.
Sono quasi tentato di cliccare su "annulla l'iscrizione" per vedere cosa succede.

[fragrua]

Sono quasi tentato di cliccare su "annulla l'iscrizione" per vedere cosa succede.

È un test da fare. Tanto non hai nulla da perdere.

[iMaurizio]

(temo che serva per provare che dall'altra parte c'è qualcuno)