几个月前,我们报道了一个有关Eli Gray发现的Google Inbox欺骗设计缺陷的故事。这将使人们能够发送mailto链接,从而欺骗电子邮件的收件人。这可用于欺骗人们将电子邮件发送到与所示地址不同的地址。这位研究人员再次发现了类似的设计缺陷,涉及收件人欺骗和PayPal移动应用程序,从而再次联系了我们。
此设计缺陷要求用户单击一个链接,该链接将打开Android默认应用选择器,然后选择PayPal。这将显示用于通过电子邮件向用户付款的选项。当您打开贝宝(PayPal)时,它会向您显示您认为会收到款项的地址。但是,贝宝显示给用户的地址与实际收件人不匹配。这意味着,例如,可以构造指向donations@unicef.org 的欺骗链接,以代替向scammer@spoofing.net汇款。您可以自己测试的链接在这里 (请勿向此电子邮件发送资金)。对于用户来说,该屏幕与向真实地址汇款的屏幕完全相同,但它是一封伪造的电子邮件,实际上并未向UNICEF汇款。要实际捐赠给联合国儿童基金会,您可以在联合国儿童基金会的官方网站上进行。
这对发送了欺骗链接的任何人都可能具有危险。埃利·格雷(Eli Gray)向贝宝(PayPal)透露了此事,并被告知这不是一个错误,而是一种社交工程骗局,旨在欺诈。这告诉我们PayPal认为这不会解决问题。我们认为,将这个问题搁置一旁是很危险的,因为用欺骗性链接欺骗普通用户非常容易。一个简单的解决方法是显示所有付款将发送到的电子邮件地址,而不只是名称。
此设计缺陷还影响许多其他邮件应用程序。它会影响macOS上的默认邮件应用程序,Android上的许多电子邮件应用程序(如Outlook),三星电子邮件应用程序和Gmail。这些应用受同一收件人欺骗设计漏洞的影响。谷歌在5月修复了这个特殊的缺陷 。
希望PayPal和其他受影响的应用程序可以解决此问题。设计缺陷广泛存在且易于利用。我们希望传播此信息,以便用户意识到他们可能点击了欺骗链接。