L’ère du phishing évolue. Une nouvelle escroquerie utilisant PayPal se distingue des tentatives habituelles par son niveau de sophistication et son efficacité redoutable. Cette fois, il ne s’agit pas d’un simple e-mail frauduleux envoyé depuis un serveur inconnu, mais bien d’un message légitime, émis directement par PayPal. Face à cette menace, même les utilisateurs les plus prudents peuvent être pris au piège.
Depuis février 2025, une escroquerie inédite cible les utilisateurs de PayPal. Contrairement aux méthodes classiques de phishing, cette fraude exploite une faille présente dans l’une des fonctionnalités du service de paiement en ligne. Le piège est simple : les pirates utilisent un processus interne de PayPal pour générer des e-mails officiels contenant un message frauduleux. Comme l’explication semble techniquement complexe, de nombreux utilisateurs ne réalisent pas immédiatement la supercherie et tombent dans le panneau.
Une faille dans PayPal utilisée pour générer de faux e-mails officiels
Cette arnaque repose sur l’exploitation d’une fonctionnalité présente dans l’interface utilisateur de PayPal, souligne BleepingComputer qui dévoile la technique. Le service permet d’enregistrer plusieurs adresses de livraison et d’associer des informations complémentaires aux adresses secondaires. C’est précisément cet élément qui est détourné par les cybercriminels. En ajoutant une nouvelle adresse et en remplissant le champ dédié aux précisions avec un message frauduleux, ils parviennent à insérer une fausse confirmation d’achat directement dans l’e-mail de notification envoyé par PayPal. Comme le message est rédigé à l’intérieur d’un champ libre et qu’il n’est pas vérifié par le système, l’e-mail est généré avec des informations trompeuses et paraît entièrement authentique.
Lorsque l’adresse est enregistrée, PayPal envoie une confirmation par e-mail à l’utilisateur concerné. Ce message, parfaitement légitime, reprend les informations saisies par l’escroc, notamment une alerte concernant un achat fictif et un numéro de téléphone frauduleux. Le destinataire, croyant que son compte a été compromis, appelle alors le numéro indiqué, persuadé de contacter le support client. De l’autre côté de la ligne, un faux conseiller PayPal prétend l’aider à annuler la transaction. En réalité, il guide la victime vers un site frauduleux où elle doit entrer un code de validation. Une fois ce code saisi, un logiciel de prise de contrôle à distance est installé sur son ordinateur, permettant aux cybercriminels d’accéder à ses informations bancaires et à ses fichiers personnels.
Un stratagème d’autant plus redoutable qu’il contourne les protections habituelles
Les tentatives classiques de phishing sont généralement faciles à identifier. Les e-mails frauduleux proviennent souvent de domaines suspects et contiennent des fautes d’orthographe, des liens douteux ou des demandes anormalement pressantes. Dans le cas de cette nouvelle arnaque, ces indices n’existent pas, puisque l’e-mail est réellement envoyé par PayPal et passe tous les contrôles de sécurité. C’est précisément ce qui le rend si dangereux. Même les personnes les plus méfiantes peuvent être trompées, car elles ne peuvent pas se fier aux précautions habituelles.
Les spécialistes en cybersécurité considèrent que cette fraude est l’une des plus sophistiquées découvertes à ce jour. En exploitant directement un processus de PayPal, elle contourne tous les filtres anti-phishing et rend pratiquement impossible la détection préventive. Les solutions de protection des boîtes e-mail ne bloquent pas ces messages, car ils proviennent d’un serveur authentifié. Les utilisateurs ne peuvent donc compter que sur leur vigilance pour éviter de se faire piéger.
Merci pour cet article très utile et instructif. Il m’a vraiment beaucoup aidé
The examples really helped.