Akamai 的研究人员发现了一种针对超过 4 亿潜在PayPal客户的新型复杂网络钓鱼诈骗。
Akamai 工作人员在发现该骗局嵌入他们自己的WordPress 网站后发现了该骗局,并且无数其他真正的WordPress网站也被认为已被黑客入侵。
风险最大的是安全性较差的网站,其密码易于猜测,并且没有设置额外的身份验证或验证。
贝宝诈骗
该骗局从一个验证码弹出窗口开始,帮助它在很大程度上未被发现。用户继续登录他们的 PayPal 账户,然后确认支付细节,包括他们的地址、母亲的娘家姓和社会安全号码。
然后,用户被暗示一种虚假的安全感,因为该骗局使他们能够将他们的电子邮件地址链接到该帐户,但这只是让骗子访问个人邮箱。
身份盗窃诈骗
据称保护 PayPal 账户的最后一步是上传身份证件——包括护照、驾驶执照和国民身份证——这可能会继续用于许多潜在的非法目的。
在其发布(在新标签中打开),Akamai 说:“上传政府文件并自拍以验证它们对受害者来说是一场更大的球赛,而不仅仅是丢失信用卡信息——它可用于以受害者的名义创建加密货币交易账户。然后这些可以被用来洗钱、逃税或为其他网络犯罪提供匿名性。”
通过搭载 PayPal 的调色板和设计界面,页面布局非常接近用户已经习惯的模仿。此外,似乎 htaccess 被用来重写 URL,从而消除了 PHP 文件扩展名,有助于呈现一个不那么可疑的网址。
一般来说,建议互联网用户要么验证 URL 是否与公司自己的地址匹配,要么从搜索引擎重新访问该页面,以确保他们不是诈骗的一部分。