黑客滥用 Google 和 PayPal 的基础设施窃取用户个人数据

安全研究人员发现了一场协同攻击活动，该攻击利用 Google 广告生态系统和 PayPal 商家工具中的漏洞窃取敏感用户数据。 

该操作利用冒充 PayPal 官方支持渠道的Google 搜索广告，并滥用 PayPal 的无代码结账系统 (paypal.com/ncp/payment/[unique ID]) 创建欺诈性支付页面。

这种多层攻击链通过利用合法平台功能绕过了传统的网络钓鱼检测机制，标志着社会工程策略的显著升级。

Google 广告和 PayPal 钓鱼

该活动始于威胁行为者部署模仿 PayPal 品牌的 Google 搜索广告，包括复制的徽标和元描述。 

通过利用 Google 误导性广告设计政策中的政策漏洞（只要显示网址和登录页面共享相同的根域，该政策就允许投放广告），攻击者将用户引导至 paypal.com 下的子域。 

这些域名托管通过 PayPal 的无代码结账生成的恶意支付链接，PayPal 是一种专为小型企业设计的工具，无需编码专业知识即可创建支付表单。

这些欺诈页面虽然从技术上来说托管在PayPal 的基础设施上，但其中包含自定义字段，提示用户拨打欺骗性的客户支持电话。 

由于屏幕尺寸限制，导航后浏览器地址栏会被隐藏，因此移动用户受到的影响尤为严重。 

2025 年 Malwarebytes分析发现，78% 的受害者在智能手机上遇到这些广告，其中 paypal.com/ncp/payment/ URL 结构和 TLS 证书使这些页面具有虚假的合法性。

基础设施滥用和政策漏洞

谷歌在 2025 年 1 月的广告政策更新中引入了由人工智能驱动的登陆页面质量模型，但由于这些恶意页面的混合结构，未能将其标记出来。 

尽管攻击者的页面包含虚假的联系信息，但从技术上讲，其内容托管在 PayPal 域名上，符合 Google 网站声誉滥用政策。 

同时，PayPal 的无代码系统缺乏对支付表单文本字段中异常负载的算法检查，这使得攻击者可以将社会工程诱饵直接插入交易流中。

自 2025 年 2 月 25 日起，PayPal 暂时禁用无代码结帐页面中的自定义文本字段，同时实施实时自然语言处理以检测欺诈性支持号码。 

谷歌因广告政策执行延迟而受到批评，它已使用对抗性机器学习来检测域名声誉劫持，从而加速了预测模型的训练。

当攻击者在允许的参数范围内操作时，validators.url（public=True）级别的输入清理是不够的”。

对企业和用户的建议

接受 PayPal 付款的组织应该：

• 监控交易中是否存在包含电话号码或异常文本字符串的有效载荷

• 在处理支持请求之前通过 OAuth 2.0 实施跨渠道用户验证

• 使用 Python 的验证器包等库部署客户端 URL 验证，并进行严格的公共 IP 检查

建议最终用户：

• 避免拨打付款表单中嵌入的支持电话

• 将官方 PayPal 门户加入书签，而不要通过 Google 搜索

• 安装广告拦截扩展程序来过滤赞助结果

截至本文发布时，谷歌已根据更新后的网站声誉滥用政策删除了 63% 的已识别恶意广告，但利用 YouTube 和 Gmail 基础设施的平行活动表明这种攻击方法将在各个平台上激增。

该事件凸显了SaaS 生态系统迫切需要统一的反滥用标准。

来源：https://cybersecuritynews.com/hackers-abused-google-and-paypals-infrastructure/