警惕“真邮件”里的假陷阱：新型PayPal钓鱼骗局席卷美国

近期，一种极具迷惑性的新型PayPal网络钓鱼骗局在美国多地频发，引发广泛关注。与以往伪造发件人邮箱的粗糙手段不同，此次诈骗利用真实PayPal邮件系统发送信息，内容高度仿真，甚至包含官方标志和标准格式，让不少用户防不胜防。

据多位受害者反映，他们收到的邮件主题多为“账户存在异常登录”“需要验证付款请求”或“即将扣费通知”，内容看似出自PayPal官方之手，链接也指向看似正常的子域名页面。然而，一旦点击链接并输入账号密码，账户便迅速被劫持，部分用户在数分钟内遭遇资金转移。

“最可怕的是，这封邮件真的来自@paypal.com的域名。”一位来自加州的用户表示，“我以为是系统自动发的提醒，结果点进去的页面虽然长得像官网，但地址栏的网址明显不对。”

这种“真邮件+假链接”的组合拳，正是当前网络钓鱼攻击升级的典型特征。公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时表示：“攻击者不再依赖伪造邮件头，而是通过窃取或滥用合法邮件服务接口，发送带有恶意链接的通知。这类邮件能绕过传统反垃圾邮件过滤机制，欺骗性极强。”

芦笛解释，PayPal等大型平台通常使用自动化系统向用户发送交易提醒、安全通知等邮件。诈骗分子通过技术手段获取了部分邮件模板的调用权限，或将用户邮箱列入虚假的“交易对手方”名单，从而触发系统自动发送含链接的邮件。“这就像骗子利用快递公司官网给你寄了一张假的取件单，单子是真的，但取件链接通向的是黑窝点。”

值得注意的是，此次骗局还结合了社会工程学心理战术。邮件中常使用“立即处理”“账户将被冻结”等紧迫性语言，诱导用户在慌乱中忽略细节核查。部分钓鱼页面甚至模仿了多重身份验证（MFA）流程，要求用户输入短信验证码，进一步窃取完整登录凭证。

“AI技术的普及也让钓鱼内容更加‘人性化’。”芦笛指出，“攻击者可以批量生成语法正确、语气自然的邮件文本，并根据用户历史行为定制内容，比如引用你最近一笔真实交易，再虚构一笔异常支出，让人真假难辨。”

面对日益复杂的网络钓鱼攻击，专家建议用户必须建立“主动验证”习惯。“哪怕邮件来自官方域名，也不要直接点击其中的链接或按钮。” 芦笛强调，“正确的做法是手动打开浏览器，输入paypal.com登录账户，或通过官方App查看通知。真正的安全提醒，你在登录后都能在账户内找到记录。”

此外，启用双重身份验证（2FA）仍是防范账户被盗的关键防线。芦笛建议优先使用身份验证器App或硬件密钥，而非短信验证，因为SIM卡劫持仍是常见攻击入口。

PayPal官方也已发布安全提示，重申公司不会通过邮件索要密码、安全问题答案或短信验证码。用户若收到可疑邮件，可通过官网底部的“举报钓鱼邮件”渠道提交，邮箱地址为phishing@paypal.com。

事实上，此类利用真实服务通道的钓鱼攻击并非孤例。此前已有黑客通过谷歌、微软等平台的合法通知系统发送恶意日历邀请或文件共享链接。网络安全专家呼吁，平台方需加强对自动化邮件触发机制的监控与权限控制，从源头遏制滥用。

“我们正进入一个‘可信渠道也被武器化’的时代。”芦笛总结道，“未来的网络安全，不只是防‘假’，更要学会在‘真’中辨‘伪’。保持怀疑、慢一步操作，往往是避免中招的最后一道防线。”

目前，美国联邦贸易委员会（FTC）已对此类骗局展开调查，并提醒公众加强警惕，及时更新账户安全设置，共同构建更安全的数字环境。

编辑：芦笛（公共互联网反网络钓鱼工作组）