Depuis plusieurs semaines, des utilisateurs et utilisatrices reçoivent des mails PayPal officiels mentionnant des achats qu’ils n’ont jamais effectués. Une arnaque particulièrement sournoise, qui détourne certaines fonctionnalités de la plateforme pour piéger ses victimes.
Recevoir une alerte PayPal annonçant la fin d’un paiement automatique n’a rien d’exceptionnel. En revanche, lorsque ledit mail mentionne soudain l’achat d’un MacBook ou d’un iPhone à plus de 1 300 dollars, il y a légitimement de quoi s’inquiéter. Voilà l'expérience qu’ont récemment rapportée plusieurs utilisateurs et utilisatrices sur Reddit, destinataires de messages en apparence tout ce qu’il y a de plus officiels. Alerté par ces signalements, Bleeping Computer s’est penché sur la question et a mis au jour une arnaque d’un genre particulier. Les escrocs impliqués ne cherchent pas à imiter PayPal, mais détournent certaines fonctionnalités de la plateforme pour pousser leurs victimes à contacter un service client frauduleux.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Des mails envoyés par PayPal, mais détournés de l’intérieur
Contrairement aux campagnes de phishing classiques, il ne s’agit pas ici d’une usurpation d’adresse ou d’un faux site bien imité. Les mails incriminés proviennent bien de l’adresse officielle service@paypal.com, sont envoyés depuis les serveurs de la plateforme et passent sans difficulté les vérifications SPF, DKIM et DMARC habituelles.
Dans le détail, il semble que les escrocs exploitent la fonctionnalité Abonnements de PayPal. En créant un compte marchand, puis en configurant un faux abonnement associé à une adresse qu’ils contrôlent, ils se font envoyer un mail légitime annonçant la suspension d’un paiement récurrent.
Ce message, effectivement généré par PayPal, est ensuite détourné. Le champ secondaire prévu pour accueillir les informations de contact du service client affiche un texte frauduleux, évoquant un achat coûteux et invitant à contacter un numéro présenté comme celui du support PayPal.
Pour l’heure, la méthode exacte d’exploitation de la faille est incertaine, PayPal limitant en principe ce champ à une URL valide, mais d’après Bleeping Computer, les escrocs pourraient tirer parti d’une faille dans la gestion des métadonnées d’abonnement, possiblement via une API ou un système hérité encore accessible dans certaines régions, permettant d’y enregistrer du texte invalide dans le champ réservé à l’adresse du service client.
Reste un dernier point à éclaircir. Le mail de suspension empoisonné étant renvoyé à l’adresse contrôlée par les attaquants, comment se fait-il que d’autres internautes aient pu le recevoir ? Toujours d’après Bleeping Computer, l’adresse mail liée au compte frauduleux est probablement rattachée à une liste de diffusion tenue par les escrocs. En bref, une fois le message généré par PayPal, il est automatiquement redistribué à l’ensemble des adresses associées à cette liste, sans altération manifeste de son contenu.
Comment éviter le piège face à ce type d’attaque
Si cette arnaque doit être prise très au sérieux, c’est avant tout parce qu’elle est difficile à repérer. Le message reçu est techniquement irréprochable, envoyé depuis l’infrastructure de PayPal, et tout porte à croire que le compte de la victime a réellement été compromis pour procéder à un achat coûteux. Dans cette situation, nul doute que le premier réflexe de nombreux internautes consisterait à contacter le numéro fourni dans le mail, présenté comme celui du service client PayPal, alors qu’il n’en est rien.
Par conséquent, n’oubliez jamais qu’aucun service client sérieux ne vous demandera de régler un litige urgent par téléphone. La présence d’un numéro à appeler, surtout lorsqu’elle est associée à un achat coûteux et inattendu, doit au contraire éveiller la méfiance, puisque les escrocs cherchent à exploiter ce sentiment d’urgence, souvent non réfléchi, pour ensuite soutirer des informations bancaires ou pousser à l’installation d’un logiciel de prise de contrôle à distance.
La seule vérification fiable passe par une connexion directe à votre compte PayPal, via l’application officielle ou l’URL du site saisie manuellement dans votre navigateur. Si aucune transaction suspecte n’apparaît dans l’historique, vous pouvez ignorer l’alerte.
Il faut aussi garder à l’esprit qu’un message techniquement irréprochable n’est plus une garantie absolue. Cette campagne montre que même des notifications authentiques peuvent être instrumentalisées. En cas de doute persistant, le contact avec le support PayPal doit toujours se faire via les canaux officiels accessibles depuis le compte.
Selon Bleeping Computer, PayPal indique avoir engagé des mesures pour bloquer ce type d’abus. En attendant, la prudence reste de mise face à des attaques qui jouent désormais sur la confiance accordée aux messages les plus légitimes.
Source : Bleeping Computer
