paypal地址证明（窃取PayPal凭据的网络钓鱼活动）

引言

近日，研究人员观察到一个网络钓鱼活动，攻击者使用了一种非传统的策略来获取PayPal凭据。攻击者并不是通过伪造的界面欺骗用户进行登录，而是通过精心制作的电子邮件，引导用户进行欺骗性的实时聊天，尝试获取电话号码并验证电子邮件地址，从而窃取PayPal凭证。

简况

邮件的主题行表明该电子邮件正在尝试发起实时聊天，以讨论与目标PayPal帐户相关的服务通知。攻击者并未掩盖发件人地址，研究人员将其识别为与合法PayPal电子邮件无关的地址。电子邮件正文包含一个“帮助和联系”链接，以及一个具有讽刺意味的“学习识别网络钓鱼”链接，两者都指向真实的PayPal链接。将鼠标悬停在标有“确认您的帐户”的按钮上时，它不会指向 PayPal URL，而是指向 direct[.]lc[.]chat 中的 URL。如果用户熟悉 PayPal 就会发现他们被带到了 PayPal 之外的域，而合法的 PayPal 实时聊天是托管在 PayPal 域内的。电子邮件正文如下：

在进行欺骗性的实时聊天时，攻击者利用自动化脚本开始与目标的通信。首先，它将尝试从收件人那里获取地址和电子邮件地址，然后尝试获取电话号码。获取电话号码并尝试验证电子邮件地址后，攻击者将尝试从目标获取信用卡信息。最后，攻击者通过 SMS 向目标发送验证码。通过验证码，可以推断受害者提供的电话号码是实时的。在从目标获取适量信息后，攻击者会尝试呼叫他们的目标。然而，只有在他们能够核实提供给他们的全部信息的情况下，他们才会打电话给目标。

总结

这次攻击证明了网络钓鱼攻击的复杂性，不再限于典型的欺骗登录。窃取凭证的网络钓鱼活动通常是通过一个简单的 URL 链接进行的，提示用户输入信息。而在此次活动中，攻击者通过在线聊天引导用户提供号码从而获取PayPal凭据。 虽然攻击者精心伪造了电子邮件，但如果收件人仔细检查电子邮件的标题和链接，就会发现该邮件并不是合法的。然而，大多数普通用户很可能不会认真检查邮件，因此成为受害者攻击的目标。

PS：每日更新整理国内外威胁情报快讯，帮助威胁研究人员了解及时跟踪相关威胁事件

关注微信公众号：安恒威胁情报中心

获取一手原创安全分析报告