關閉選單
  1. Home
  2. NEWS最新消息
  3. 事件與威脅
  4. 資訊安全
顯示分類
2025.12.16
事件與威脅/資訊安全
警惕:PayPal訂閱功能被濫用,用於發送虛假購買郵件
網路釣魚攻擊的「內鬼」策略升級

傳統的網路釣魚(Phishing)攻擊通常依賴於偽造的電子郵件寄件人地址和惡意的網域,但這些郵件很容易被 SPF、DKIM 和 DMARC 等現代電子郵件驗證協定攔截。然而,隨著安全防護的提高,詐騙分子開始轉向更複雜的「內鬼」策略:濫用合法的企業服務功能,強制讓企業自身的郵件伺服器發送帶有惡意內容的電子郵件。這不僅繞過了安全過濾器,更極大地提升了收件人對郵件的信任度。

最近,國際支付巨頭 PayPal 就成為了此類高階社交工程攻擊的目標,其核心「訂閱」功能被發現遭到濫用,用以傳播難以辨識的虛假交易詐騙。

 

新型詐騙模式深度剖析:合法載體中的惡意注入

PayPal的「訂閱」功能設計用於商家定期向客戶收費,當商家暫停或取消訂閱時,PayPal系統會自動向訂閱者發送一封「您的自動付款已不再有效」的通知郵件。詐騙分子正是抓住了這個自動化流程,並對其中的一個可配置欄位進行了惡意注入。

郵件詐騙分子濫用 PayPal 的「訂閱」計費功能,發送包含虛假購買通知的合法 PayPal 電子郵件,這些虛假購買通知嵌入在客戶服務 URL 欄位中。在過去的幾個月裡,有人報告說收到來自PayPal的電子郵件,表示「您的自動付款已不再有效」。

該電子郵件包含一個客戶服務 URL 字段,該字段不知怎的被修改,以包含一條訊息,稱您購買了昂貴的商品,例如索尼設備、MacBook 或 iPhone。這段文字包含一個域名,一條訊息稱已處理一筆 1300 至 1600 美元的付款(金額因郵件而異),以及一個用於取消或對付款提出異議的電話號碼。文字中充斥著 Unicode 字符,導致部分內容以粗體或特殊字體顯示,這是一種試圖繞過垃圾郵件過濾器和關鍵字檢測的策略


詐騙郵件中的客戶服務網址顯示:“http://[域名] [域名] 1346.99 美元的付款已成功處理。如需取消或諮詢,請聯繫 PayPal 客服,電話:+1-805-500-6377。”

雖然這顯然是詐騙,但這些電子郵件是由 PayPal 直接從「service@paypal.com」地址發送的,這讓人們擔心他們的帳戶可能被盜用。此外,由於這些郵件是合法的PayPal郵件,它們繞過了安全防護和垃圾郵件過濾器。

 

技術突破與安全盲點:DMARC與過濾器的失效機制

此類詐騙的成功,關鍵在於其技術上的兩個核心突破點:

首先是寄件人地址的合法性。由於郵件是由 PayPal 自身的伺服器(經郵件頭確認來自 mx15.slc.paypal.com)發出,其郵件頭能順利通過 SPF 和 DKIM 檢查,並且符合 DMARC 策略。這使得該郵件在收件者的電子郵件安全系統眼中,是絕對可信的官方通信,從根本上讓基於寄件人驗證的防護機制失效。

其次是惡意載荷的隱藏。詐騙分子並非在郵件正文中插入惡意連結,而是利用 PayPal 系統在處理「客戶服務 URL」欄位時,可能存在的元數據注入漏洞API 處理缺陷。他們成功地將原本應該是單純 URL 的欄位,替換成包含虛假購買訊息和詐騙電話號碼的長串文字。此外,文字中故意摻雜Unicode 字符,進一步阻礙了安全過濾器對「索尼」、「MacBook」或「$1,500」等關鍵字進行模式匹配和內容檢測。

 

攻擊鏈條還原:從功能缺陷到目標誘導

BleepingComputer 的研究證實,透過利用 PayPal 的「訂閱」功能並暫停訂閱者,可以重現該郵件範本。這表明詐騙者正利用以下三個主要步驟完成攻擊鏈:

  1. 創建惡意訂閱: 詐騙者首先設立一個虛假的訂閱服務,並將客戶服務 URL 欄位透過某種方式(可能是 API 或舊版平台漏洞)注入惡意文字。

  2. 觸發合法郵件: 詐騙者隨後以訂閱者身份註冊目標群體的電子郵件,或利用郵件列表服務(例如 Google Workspace Mailing List)作為中介。當他們暫停訂閱時,PayPal 自動向該訂閱者郵箱(例如 receipt3@bbcpaglomoonlight.studio)發送合法的「自動付款不再活躍」郵件。

  3. 群體發送與誘導: 中介郵箱會將這封合法的 PayPal 郵件轉發給所有目標受害者。郵件中的「高價購買」通知與「取消或諮詢」電話號碼,利用受害者的恐懼和緊迫感,誘騙他們撥打詐騙電話。一旦受害者致電,詐騙者通常會引導他們進行銀行詐欺或要求安裝遠端控制軟體,聲稱是「取消交易」的必要步驟。

 

企業及用戶防範建議

這起事件暴露了即使是最受信任的服務,其合法功能也可能成為網路釣魚的新型攻擊向量。企業應嚴格審查和限制用戶輸入欄位(如 URL、備註)的字符類型和長度,並對郵件範本中所有可配置的元數據進行嚴格的內容驗證,以防止此類惡意注入。PayPal 已聲明正積極採取措施減輕此問題。

對於用戶而言,防範此類高階詐騙的黃金法則仍然是:

  1. 保持零信任原則: 即使郵件來自 service@paypal.com,也不要相信郵件中的內容。

  2. 不撥打或點擊: 永遠不要撥打郵件中提供的電話號碼或點擊任何連結。

  3. 獨立查證: 如果對帳戶有疑慮,應手動在瀏覽器中輸入 paypal.com 登入帳戶,或透過 PayPal 官方應用程式檢查交易記錄。

透過提高對「合法郵件中的惡意內容」的警惕性,用戶才能有效地保護自己免受新型社交工程攻擊的侵害。


資料來源:https://www.bleepingcomputer.com/news/security/beware-paypal-subscriptions-abused-to-send-fake-purchase-emails/
 
深入分析利用PayPal「訂閱」計費功能發送偽造購買通知的新型網路釣魚詐騙。詐騙者成功將惡意內容嵌入於合法的PayPal電子郵件中的「客戶服務URL」欄位,導致郵件直接通過DMARC和垃圾郵件過濾器的安全檢查。報告詳細揭示了攻擊者如何利用此技術、使用Unicode字符進行混淆,並誘導受害者撥打詐騙電話,構成極具欺騙性的新型安全威脅。