Allora, la cosa funziona così, da quanto ho letto qualche settimana fa su trumpetherald. Si avvia una trattativa. Il malintenzionato introduce l'argomento paypal (per esempio lo suggerisce come metodo di pagamento, oppure lo richiede), e fornisce via email un link a paypal perfettamente regolare. Questo primo passo serve ad "abituare" la controparte a questa cosa. Uno pensa: il link è regolare, che problema c'è? Magari lo schema si ripete per ancora due o tre email. Poi arriva invece un'email in cui il link porta ad un sito clone. Il truffatore conta sul fatto che la vittima, dopo una corrispondenza di varie email senza alcun problema, abbassi la guardia e clicchi sul link per fare il login al suo account Paypal, ed in questo modo gli frega le credenziali. In pratica la vendita è solo un'esca, ma il vero obiettivo è il phishing. Quindi se in questo caso siamo di fronte ad un malintenzionato, ancora lo schema non si è messo in opera.
