Akamai-forskare har upptäckt en sofistikerad ny nätfiske-bedrägeri som riktar sig till mer än 400 miljoner potentiella PayPal-kunder.
Akamais personal upptäckte bluffen efter att ha hittat den inbäddad i sin egen WordPress-webbplats, och många andra ursprungliga WordPress-webbplatser hackades också.
Dåligt skyddade webbplatser med lätta att gissa lösenord och inga ytterligare autentiserings- eller verifieringsinställningar är den största risken.
PayPal-bedrägerier
Bedrägeriet börjar med en CAPTCHA-popup, som hjälper den att förbli oupptäckt för det mesta. Användare loggar in på sina PayPal-konton innan de bekräftar betalningsuppgifter, inklusive sin adress, moderns flicknamn och personnummer.
Användare har då en falsk känsla av säkerhet eftersom bluffen gör att de kan länka sin e-postadress till kontot, men detta ger bara kriminella tillgång till människors brevlådor.
bedrägeri med identitetsstöld
Det sista steget för att säkra PayPal-kontot är att ladda upp ett identifikationsdokument, inklusive pass, körkort och nationella id-kort, som kan användas för en mängd potentiellt olagliga ändamål.
I sitt uttalande (öppnas i en ny flik) sa Akamai: "Att ladda ner statliga dokument och ta en selfie för att verifiera dem är ett större spel för ett offer än att bara förlora kreditkortsinformation; det kan användas för att skapa handelskonton för kryptovaluta under offrets namn, som sedan kan användas för att tvätta pengar, undvika skatter eller tillhandahålla anonymitet för andra cyberbrott.
Designen efterliknar det som användare redan är vana vid att förlita sig på PayPals färgpalett och gränssnittsdesign. Det ser också ut som att htaccess användes för att skriva om URL:en och ta bort PHP-filtillägget, vilket hjälper till att presentera en mindre misstänkt webbadress.
I allmänhet rekommenderas Internetanvändare att verifiera att webbadressen motsvarar företagets egen adress eller att återgå till sidan från en sökmotor för att säkerställa att de inte är en del av en bluff.