Une escroquerie inédite frappe PayPal et trompe même les internautes les plus méfiants. Si vous avez reçu un mail officiel alertant d'un changement d'adresse lié à votre compte, soyez prudent.
Une nouvelle campagne d'arnaque basée sur le social engineering cible actuellement les utilisateurs et utilisatrices de PayPal à l’aide d’une méthode particulièrement insidieuses. Alors que les pirates cherchent habituellement à imiter des services officiels sans jamais parvenir à usurper complètement leur identité, la supercherie dont il est question parvient à exploiter une faille de conception dans la plateforme de paiement en ligne pour détourner l’adresse officielle [email protected], et ainsi tromper les internautes les plus vigilants.
Une fraude qui exploite une faille logique dans PayPal
Signalée à plusieurs reprises par de nombreux internautes sur Reddit, et confirmée par nos confrères et consœurs de Bleeping Computer, l’arnaque a de quoi donner le vertige. Car contrairement aux tentatives de phishing mail ordinaires – usurpation d’identité par le biais d’adresses frauduleuses –, l’escroquerie en question repose sur le détournement d’une fonctionnalité existante dans PayPal.
Pour bien comprendre de quoi il retourne, on rappelle que la plateforme permet à ses utilisateurs et utilisatrices d’ajouter des adresses postales secondaires à leur compte. À l’image de nombreux formulaires de ce type, on trouve un champ Adresse 1, suivi d’un champ Adresse 2, en général réservé aux détails de bâtiment, d’étage, de digicode. Or, il se trouve que ce second champ accepte une longueur de texte nettement supérieure à ce qui est nécessaire pour un simple complément d’adresse.
Dans le cas de l’arnaque dont nous parlons, les hackers exploitent cette flexibilité en créant un compte PayPal frauduleux et en y ajoutant une adresse contenant un message imitant une confirmation d’achat. Une fois l’adresse enregistrée, PayPal génère automatiquement un mail de confirmation qui reprend fidèlement le texte injecté :
« Confirmation : Votre adresse de livraison pour le MacBook M4 Max 1 TB (1 098,95 $) a été mise à jour. Si vous n’avez pas autorisé cette modification, contactez PayPal immédiatement au +1-888-668-2508 ».
Le mail, émis par les serveurs officiels de PayPal, passe sans difficulté les contrôles de sécurité DKIM et SPF. À ce stade de l’entourloupe, il est uniquement envoyé à l’adresse associée au compte frauduleux. Par conséquent, pour atteindre leurs véritables cibles, les escrocs ont mis en place un système de redirection.
Sans entrer dans des détails trop techniques, l’adresse mail liée au compte frauduleux est configurée pour rediriger automatiquement les messages vers un relais hébergé sur Microsoft 365. Dès que le message de confirmation atterrit dans cette seconde boîte frauduleuse, il est instantanément retransmis à une liste de diffusion contenant des centaines d’adresses, qu’elles soient liées ou non à un compte PayPal.
Les victimes reçoivent ainsi un mail officiel émis par [email protected], les alertant d’un changement d’adresse ou d’un achat suspect. La panique aidant, ils sont incités à appeler le numéro stipulé. Au bout du fil, un faux conseiller PayPal leur explique que leur compte a été piraté et qu’une transaction est en cours. Pour soi-disant annuler cet achat, elles doivent saisir un code de service sur une page d’assistance frauduleuse, ce qui déclenche le téléchargement d’un logiciel de prise en main à distance.
La suite, vous la devinez. Une fois installé, ce programme offre un accès total à l’ordinateur de la victime. L’escroc peut fouiller les fichiers, récupérer des identifiants bancaires, voire verrouiller le PC à distance.
Les bons réflexes à adopter pour éviter le piège
Évidemment, parce que le mail de confirmation émane officiellement des serveurs de PayPal, n’importe quel internaute, aussi vigilant soit-il, est susceptible de tomber dans le panneau et d’agir dans l’urgence. Et c’est précisément sur cette réaction que misent les escrocs. Pour éviter de tomber dans le piège, il suffit, une fois encore, d’adopter quelques réflexes simples.
Première chose à garder en tête : PayPal n’invite jamais, dans ses mails de confirmation, à contacter le service client par téléphone. En cas de doute, connectez-vous directement à votre espace utilisateur en ligne pour contrôler les adresses associées à votre compte. En l’absence de modification, signalez immédiatement l’arnaque à l’adresse [email protected].
Dans le cas où vous seriez quand même tenté de composer le numéro de téléphone indiqué pour joindre un conseiller, rappelez-vous qu’un service client légitime ne vous demandera d’installer un logiciel tiers pour sécuriser votre compte.
Pensez enfin à sensibiliser votre entourage, en particulier les personnes les moins informées sur le sujet, et envisagez d’opter pour un antivirus fiable, capable de vous alerter en cas de téléchargement suspect.
Source : Bleeping Computer
06 février 2025 à 09h45
