安全研究人员发现了一场协同攻击行动，该行动利用谷歌广告生态系统和PayPal商家工具中的漏洞窃取用户敏感数据。

此次攻击行动利用谷歌搜索广告冒充PayPal的官方支持渠道，并滥用PayPal的无代码结账系统（paypal.com/ncp/payment/[唯一 ID]）来创建欺诈性支付页面。

这种多层攻击链通过利用合法平台功能，绕过了传统的网络钓鱼检测机制，标志着社会工程策略的重大升级。
谷歌广告与PayPal网络钓鱼

该攻击行动始于威胁行为者投放模仿PayPal品牌的谷歌搜索广告，包括复制的标志和元描述。

攻击者利用谷歌《误导性广告设计政策》中的一个政策漏洞 —— 只要显示网址和目标页面共享相同的根域名，广告即可投放 —— 将用户引导至paypal.com下的子域名。

这些域名托管着通过PayPal无代码结账生成的恶意支付链接，而无代码结账本是为小企业设计的合法工具，可让它们无需编码专业知识就能创建支付表单。

这些欺诈页面虽然在技术上托管于PayPal的基础设施上，但包含自定义字段，诱使用户拨打虚假的客户支持号码。

由于移动设备屏幕尺寸限制，用户在导航后浏览器地址栏会隐藏，因此移动用户受到的影响尤为严重。

基础设施滥用和政策漏洞

 Malwarebytes 在 2025 年的一项分析发现，78% 的受害者是在智能手机上遇到这些广告的，在手机上，paypal.com/ncp/payment/的网址结构和传输层安全（TLS）证书给这些页面赋予了虚假的合法性。

谷歌在 2025 年 1 月的广告政策更新中引入了人工智能驱动的目标页面质量模型，但由于这些恶意页面的混合结构，未能将其标记出来。

尽管攻击者的页面包含欺诈性联系信息，但因其内容托管在PayPal的域名上，在技术上符合谷歌的《网站信誉滥用政策》。

与此同时，PayPal的无代码系统缺乏对支付表单文本字段中异常有效载荷的算法检查，使得攻击者能够将社会工程诱饵直接插入交易流程。

截至 2025 年 2 月 25 日，PayPal已暂时禁用无代码结账页面中的自定义文本字段，同时实施实时自然语言处理以检测欺诈性支持号码。

谷歌因广告政策执行滞后而受到批评，已通过对抗性机器学习加速其预测模型的训练，以检测域名信誉劫持。

当攻击者在允许的参数范围内操作时，仅在 validators.url (public=True) 层面进行输入净化是不够的。
对企业和用户的建议

接受PayPal支付的企业应：

1.监控交易中包含电话号码或不寻常文本字符串的有效载荷。
2.在处理支持请求前，通过 OAuth 2.0 实施跨渠道用户验证。
3.使用 Python 的 validators 包等库进行客户端网址验证，并严格检查公共 IP。

建议终端用户：

1.避免拨打支付表单中嵌入的支持号码。
2.收藏PayPal官方门户，而不是通过谷歌搜索。
3.安装能过滤赞助结果的广告拦截扩展。

截至发布时，谷歌已根据其更新的《网站信誉滥用政策》删除了 63% 已识别的恶意广告，但利用 YouTube 和 Gmail 基础设施的类似攻击行动表明，这种攻击方法将在多个平台上扩散。

这一事件凸显了在软件即服务（SaaS）生态系统中制定统一反滥用标准的迫切需求。