Istraživači sigurnosti otkrili su koordiniranu kampanju napada koja iskorištava ranjivosti u Google-ovom reklamnom ekosistemu i PayPal-ovim trgovačkim alatima za krađu osjetljivih korisničkih podataka.
Operacija koristi oglase Google pretraživanja koji se imitiraju kao službeni kanali podrške PayPal-a i zloupotrebljava PayPal-ov sistem plaćanja bez koda (paypal.com/ncp/payment/[unique ID]) za kreiranje lažnih stranica za plaćanje.
Ovaj višeslojni lanac napada zaobilazi tradicionalne mehanizme za otkrivanje krađe identiteta naoružavajući legitimne karakteristike platforme, označavajući značajnu eskalaciju u taktikama društvenog inženjeringa.
Google Ads i PayPal phishing
Kampanja počinje tako što hakeri postavljaju Google Search oglase koji oponašaju PayPal-ov brend, uključujući replicirane logotipe i meta opise.
Iskorištavanjem praznine u politici Google-ovog obmanjujućeg dizajna oglasa—koja dozvoljava oglase sve dok prikazani URL i odredišna stranica dijele isti korijenski domen—napadači usmjeravaju korisnike na poddomene pod paypal.com.
Ove domene hostuju maliciozne veze za plaćanje koje se generišu putem PayPal-ovog bezkodnog checkout-a, legitimnog alata dizajniranog za mala preduzeća za kreiranje obrazaca za plaćanje bez stručnosti kodiranja.
Lažne stranice, iako se tehnički nalaze na PayPal infrastrukturi , uključuju prilagođena polja koja podstiču korisnike da pozovu lažne brojeve korisničke podrške.
Korisnici mobilnih uređaja su neproporcionalno pogođeni zbog ograničenja veličine ekrana koja skrivaju adresne trake pretraživača nakon navigacije.
Analiza Malwarebytes-a iz 2025. godine pokazala je da je 78% žrtava naišlo na ove oglase na pametnim telefonima, gdje su paypal.com/ncp/payment/ URL struktura i TLS certifikati dali lažni legitimitet stranicama.
Zloupotreba infrastrukture i rupe u politici
Google-ova ažuriranja pravila o oglasima iz januara 2025., koja su uvela modele kvaliteta odredišne stranice zasnovane na vještačkoj inteligenciji , nisu uspjela označiti ove maliciozne stranice zbog njihove hibridne strukture.
Stranice napadača tehnički su bile u skladu s Google-ovom politikom zloupotrebe reputacije web lokacije tako što su hostovale sadržaj na PayPal domenu, uprkos tome što su sadržavale lažne kontakt informacije.
U međuvremenu, PayPal-ovom sistemu bez kodiranja nedostajale su algoritamske provjere za anomalan unos u tekstualnim poljima obrasca plaćanja, omogućavajući napadačima da ubace mamce socijalnog inženjeringa direktno u tokove transakcija.
PayPal je privremeno onemogućio prilagođena tekstualna polja na stranicama za naplatu bez koda od 25. februara 2025., dok je implementirao obradu prirodnog jezika u realnom vremenu radi otkrivanja lažnih brojeva podrške.
Google, suočen s kritikama zbog odgođene primjene pravila o oglasima, ubrzao je obuku za model predviđanja koristeći suprotstavljeno mašinsko učenje kako bi otkrio otmicu reputacije domene.
Sanitizacija unosa na nivou validators.url(public=True) nije dovoljna kada napadači rade unutar dozvoljenih parametara”.
Preporuke za preduzeća i korisnike
Organizacije koje prihvataju PayPal plaćanja trebale bi:
- Pratite transakcije za sadržaje koji sadrže telefonske brojeve ili neobične tekstualne nizove
- Implementirajte verifikaciju korisnika na više kanala putem OAuth 2.0 prije obrade zahtjeva za podršku
- Uvedite provjeru URL-a na strani klijenta koristeći biblioteke poput Python-ovog paketa validatora sa strogim javnim IP provjerama
Krajnjim korisnicima se savjetuje da:
- Izbjegavajte pozivanje brojeva podrške koji su ugrađeni u obrasce za plaćanje
- Označite zvanične PayPal portale umjesto pretraživanja putem Google-a
- Instalirajte ekstenzije za blokiranje oglasa koje filtriraju sponzorisane rezultate
Od objave, Google je uklonio 63% identificiranih malicioznih oglasa u skladu sa svojim ažuriranim pravilima o zloupotrebi reputacije web-lokacije, ali paralelne kampanje koje iskorištavaju infrastrukturu YouTube-a i Gmail-a sugerišu da će se ova metodologija napada proširiti na sve platforme.
Incident naglašava hitnu potrebu za jedinstvenim standardima protiv zloupotrebe u svim SaaS ekosistemima .
Izvor: CyberSecurityNews
