【安全资讯】警惕：PayPal订阅功能遭滥用发送虚假交易邮件

概要：

近期，一种新型网络钓鱼骗局正滥用PayPal的“订阅”计费功能，通过官方渠道向用户发送看似合法的邮件，邮件中却嵌入了虚假的高额商品购买通知。这种攻击手法不仅利用了用户对PayPal官方邮件的信任，还巧妙地绕过了常规的垃圾邮件和安全过滤器，对全球金融支付用户构成了直接威胁。

主要内容：

该骗局的核心在于攻击者滥用PayPal商家后台的“订阅”功能。攻击者创建一个虚假订阅，并在“客户服务URL”字段中填入精心构造的文本，而非合法网址。该文本包含虚假的高额交易信息（如购买索尼设备、MacBook或iPhone，金额在1300至1600美元之间）和一个所谓的“PayPal支持”电话号码。文本中还混杂了Unicode字符，使部分内容以粗体或特殊字体显示，以规避垃圾邮件过滤器的关键词检测。

当攻击者暂停该虚假订阅时，PayPal系统会自动向“订阅者”的关联邮箱发送一封标题为“您的自动付款已不再有效”的官方通知邮件。关键在于，攻击者填入“客户服务URL”字段的欺诈文本会完整地显示在这封由PayPal官方服务器（service@paypal.com）发出、且通过DKIM和SPF等严格邮件安全验证的邮件正文中，从而赋予了骗局极高的伪装性。

目前尚不清楚攻击者如何将邮件精准投递给非订阅目标人群。分析推测，攻击者可能利用了一个与虚假订阅账户绑定的Google Workspace邮件列表。该列表会自动将收到的所有邮件（即来自PayPal的官方通知）转发给列表内的所有成员，而这些成员正是攻击者意图诈骗的目标受害者。这种转发机制可能导致后续的SPF和DMARC检查失效，进一步增加了邮件来源的迷惑性。

PayPal官方已确认知晓此钓鱼骗局，并提醒用户保持警惕，切勿轻信意外信息，应直接通过官方应用或联系页面寻求客服支持。此次事件暴露了在线支付平台在特定功能输入验证和元数据处理上可能存在的缺陷，被不法分子利用进行社会工程学攻击。