Une nouvelle escroquerie de grande ampleur cible les utilisateurs de PayPal en exploitant une faille du service de paiement en ligne. Contrairement aux arnaques traditionnelles de phishing, cette fraude repose sur le détournement d’un e-mail authentique de PayPal, rendant l’attaque particulièrement redoutable.
L’arnaque exploite une faille dans la gestion des adresses enregistrées sur un compte PayPal. Chaque utilisateur peut ajouter plusieurs adresses postales dans ses paramètres. Or, la seconde adresse permet d’ajouter un champ complément d’adresse plus long, ce qui laisse de la place pour insérer un faux message de confirmation d’achat accompagné d’un numéro de téléphone frauduleux.
Dès qu’un escroc ajoute cette adresse modifiée, PayPal envoie automatiquement un e-mail de confirmation au titulaire du compte. Cette notification légitime est alors détournée par les pirates, redirigée vers un hébergeur relais, puis envoyée en masse à des victimes potentielles.
Le-mail frauduleux provient de l’adresse officielle de Paypal
Ce qui rend cette escroquerie particulièrement dangereuse, c’est que le message provient bien de l’adresse officielle de PayPal : service@paypal.com. Les utilisateurs, persuadés que leur compte a été compromis, appellent alors le numéro frauduleux indiqué dans le faux message de confirmation d’achat.
Une fois en ligne, un faux conseiller PayPal prétend pouvoir annuler la transaction suspecte. Il demande alors à la victime d’entrer un code de sécurité sur son ordinateur. Ce code déclenche en réalité l’installation d’un logiciel malveillant, permettant aux cybercriminels de prendre le contrôle à distance de l’appareil et d’accéder aux données personnelles et bancaires de la victime.
Cette arnaque sophistiquée est d’autant plus redoutable qu’elle utilise une communication authentique de PayPal, rendant les messages indétectables pour de nombreux utilisateurs. Même les internautes les plus prudents peuvent être piégés, pensant légitimement contacter le service client du géant du paiement en ligne.
Comment se protéger contre cette menace ?
Bien que l’attaque repose sur un détournement d’un e-mail légitime, plusieurs signaux peuvent alerter les utilisateurs. PayPal ne demande jamais de rappeler un numéro de téléphone dans ses e-mails, ni d’installer un logiciel tiers pour annuler une transaction, comme l’explique Capital.
En cas de doute, il est recommandé de ne jamais composer le numéro affiché dans l’e-mail et de se rendre directement sur le site officiel de PayPal pour vérifier l’éventuelle existence d’une transaction suspecte. Pour tout problème de sécurité, il est préférable de contacter PayPal via son service client officiel.
Cette arnaque très sophistiquée démontre à quel point les cybercriminels redoublent d’ingéniosité pour contourner les protections habituelles et tromper les utilisateurs de services de confiance. La prudence est donc essentielle face à tout e-mail inattendu, même lorsqu’il semble provenir d’une source fiable.
