4008708893
近日,安全研究人员发现了一场协同攻击数据泄露行动,该行动利用谷歌广告生态系统和PayPal商家工具中的漏洞窃取用户敏感数据。
此次攻击行动利用谷歌搜索广告冒充PayPal的官方支持渠道,并滥用PayPal的无代码结账系统来创建欺诈性支付页面。
这种多层攻击链通过利用合法平台功能,绕过了传统的网络钓鱼检测机制,标志着社会工程策略的重大升级。该攻击行动始于威胁行为者投放模仿PayPal品牌的谷歌搜索广告,包括复制的标志和元描述。
攻击者利用谷歌《误导性广告设计政策》中的一个政策漏洞 —— 只要显示网址和目标页面共享相同的根域名,广告即可投放 —— 将用户引导至paypal.com下的子域名。这些域名托管着通过PayPal无代码结账生成的恶意支付链接,而无代码结账本是为小企业设计的合法工具,可让它们无需编码专业知识就能创建支付表单。
这些欺诈页面虽然在技术上托管于PayPal的基础设施上,但包含自定义字段,诱使用户拨打虚假的客户支持号码。由于移动设备屏幕尺寸限制,用户在导航后浏览器地址栏会隐藏,因此移动用户受到的影响尤为严重。
Malwarebytes 在 2025 年的一项分析发现,78% 的受害者是在智能手机上遇到这些广告的,在手机上,paypal.com/ncp/payment/的网址结构和传输层安全(TLS)证书给这些页面赋予了虚假的合法性。
谷歌在 2025 年 1 月的广告政策更新中引入了人工智能驱动的目标页面质量模型,但由于这些恶意页面的混合结构,未能将其标记出来。尽管攻击者的页面包含欺诈性联系信息,但因其内容托管在PayPal的域名上,在技术上符合谷歌的《网站信誉滥用政策》。
与此同时,PayPal的无代码系统缺乏对支付表单文本字段中异常有效载荷的算法检查,使得攻击者能够将社会工程诱饵直接插入交易流程。
截至 2025 年 2 月 25 日,PayPal已暂时禁用无代码结账页面中的自定义文本字段,同时实施实时自然语言处理以检测欺诈性支持号码。谷歌因广告政策执行滞后而受到批评,已通过对抗性机器学习加速其预测模型的训练,以检测域名信誉劫持。
当攻击者在允许的参数范围内操作时,仅在 validators.url (public=True) 层面进行输入净化是不够的。
(来源:安全客)
天锐蓝盾数据泄露防护系统(简称:天锐蓝盾DLP)以内容识别技术为核心,通过使用关键字、数据标识符、文件属性、源代码识别等内容识别技术,对运行、存储于主机内或者网络中传输的文件、数据进行内容识别,对数据的操作和移动过程进行管控,以检测、告警、分析、阻断为手段,实现对数据以非授权的形式流出安全域进行防护的功能。
同时可灵活搭配数据安全、终端安全、态势感知等多个维度,通过丰富的策略机制满足企事业单位多样性的数据防护场景,进而强化内部系统的整体防御体系,为企业提供坚不可摧的数据安全防护。
