近日，安全研究人员发现了一场协同攻击数据泄露行动，该行动利用谷歌广告生态系统和PayPal商家工具中的漏洞窃取用户敏感数据。

此次攻击行动利用谷歌搜索广告冒充PayPal的官方支持渠道，并滥用PayPal的无代码结账系统来创建欺诈性支付页面。

这种多层攻击链通过利用合法平台功能，绕过了传统的网络钓鱼检测机制，标志着社会工程策略的重大升级。该攻击行动始于威胁行为者投放模仿PayPal品牌的谷歌搜索广告，包括复制的标志和元描述。

攻击者利用谷歌《误导性广告设计政策》中的一个政策漏洞 —— 只要显示网址和目标页面共享相同的根域名，广告即可投放 —— 将用户引导至paypal.com下的子域名。这些域名托管着通过PayPal无代码结账生成的恶意支付链接，而无代码结账本是为小企业设计的合法工具，可让它们无需编码专业知识就能创建支付表单。

这些欺诈页面虽然在技术上托管于PayPal的基础设施上，但包含自定义字段，诱使用户拨打虚假的客户支持号码。由于移动设备屏幕尺寸限制，用户在导航后浏览器地址栏会隐藏，因此移动用户受到的影响尤为严重。

Malwarebytes 在 2025 年的一项分析发现，78% 的受害者是在智能手机上遇到这些广告的，在手机上，paypal.com/ncp/payment/的网址结构和传输层安全（TLS）证书给这些页面赋予了虚假的合法性。

谷歌在 2025 年 1 月的广告政策更新中引入了人工智能驱动的目标页面质量模型，但由于这些恶意页面的混合结构，未能将其标记出来。尽管攻击者的页面包含欺诈性联系信息，但因其内容托管在PayPal的域名上，在技术上符合谷歌的《网站信誉滥用政策》。

与此同时，PayPal的无代码系统缺乏对支付表单文本字段中异常有效载荷的算法检查，使得攻击者能够将社会工程诱饵直接插入交易流程。

截至 2025 年 2 月 25 日，PayPal已暂时禁用无代码结账页面中的自定义文本字段，同时实施实时自然语言处理以检测欺诈性支持号码。谷歌因广告政策执行滞后而受到批评，已通过对抗性机器学习加速其预测模型的训练，以检测域名信誉劫持。

当攻击者在允许的参数范围内操作时，仅在 validators.url (public=True) 层面进行输入净化是不够的。

（来源：安全客）

天锐蓝盾数据泄露防护系统（简称：天锐蓝盾DLP）以内容识别技术为核心，通过使用关键字、数据标识符、文件属性、源代码识别等内容识别技术，对运行、存储于主机内或者网络中传输的文件、数据进行内容识别，对数据的操作和移动过程进行管控，以检测、告警、分析、阻断为手段，实现对数据以非授权的形式流出安全域进行防护的功能。

同时可灵活搭配数据安全、终端安全、态势感知等多个维度，通过丰富的策略机制满足企事业单位多样性的数据防护场景，进而强化内部系统的整体防御体系，为企业提供坚不可摧的数据安全防护。