PayPal gebruikers zijn het doelwit geworden van een internationale pharming-aanval, zo waarschuwt Websense. De aanval begint met een valse e-mail die een link bevat naar het bestand "PayPal security tool". Dit bestand is een trojaans paard dat de DNS-server van de PC aanpast en zichzelf daarna verwijdert. Vervolgens worden alle aanvragen voor www.paypal.com omgeleid naar een phishing-website. De DNS-server waar deze site op gehost wordt, leidt op dit moment alleen paypal.com om, maar heeft de mogelijkheid om meerdere sites te manipuleren.

Als iemand met een geïnfecteerde computer de PayPal-website wil gaan bezoeken, wordt hij ongemerkt doorgesluisd naar een phishing-site. Het trojaanse paard heeft er echter voor gezorgd dat het web-adres in de browser toch lijkt te kloppen. Wanneer de gebruiker inlogt, vraagt de site om de account informatie te updaten. Gevraagd wordt om: naam, Credit/ ATM card, factuuradres, telefoonnummer, sofi-nummer, de meisjesnaam van je moeder, geboortedatum, rijbewijsnummer en bankrekeningnummers.

De kwaadaardige DNS-server wordt gehost in Roemenië, terwijl de phishing-server wordt gehost in India.