Fraude PayPal : des e-mails 100 % légitimes cachent un piège redoutable

Une faille exploitée pour duper les utilisateurs de PayPal

Les escrocs du web ne manquent jamais d'imagination, et cette fois, ils ont franchi un nouveau cap. Contrairement aux classiques tentatives de

 (hameçonnage) où des pirates imitent maladroitement un service pour tromper leurs cibles, cette nouvelle fraude exploite une véritable faille dans le système de PayPal.

Le principe est simple : les hackers utilisent une fonctionnalité existante de la plateforme pour générer un e-mail totalement légitime et signé par PayPal, contournant ainsi tous les filtres de sécurité.

Le mode opératoire des escrocs

1. Création d'un faux compte PayPal : les pirates créent un compte frauduleux sur PayPal en y ajoutant une adresse postale secondaire.
2. Exploitation d'un champ texte détourné : lors de l'ajout d'une adresse, un champ prévu pour des précisions (numéro d'appartement, étage, etc.) est détourné. Il contient au lieu de cela un faux message d'alerte du type :
   

   "Confirmation : Votre adresse de livraison pour le MacBook M4 Max 1 To (1 098,95 dollars) a été mise à jour. Si vous n'avez pas autorisé cette modification, contactez immédiatement PayPal au +1-888-668-2508."

3. Envoi automatique d'un e-mail frauduleux : une fois cette fausse adresse enregistrée, PayPal génère automatiquement un e-mail de confirmation. Celui-ci est envoyé par les serveurs officiels de la plateforme, ce qui le rend indétectable par les filtres anti-phishing et extrêmement crédible aux yeux des victimes.
4. Piège téléphonique : paniquées, les victimes contactent le numéro affiché dans l'e-mail, pensant annuler une transaction non autorisée. Elles tombent alors sur un faux conseiller PayPal, qui va leur demander d'installer un logiciel de "sécurisation", en réalité un outil de prise en main à distance de leur ordinateur.

Une escroquerie aux conséquences désastreuses

Une fois que la victime installe le logiciel malveillant, les escrocs prennent le contrôle de l'ordinateur et voici ce qui arrive :

• Récupération de vos identifiants bancaires et mots de passe.
• Vol des données personnelles stockées sur l'ordinateur.
• Blocage et rançonnage du PC à distance.

Ce stratagème est particulièrement redoutable car il joue sur la panique et la rapidité de réaction des internautes, qui ont le sentiment d'être en train de perdre leur argent.

Comment éviter de tomber dans le piège ?

Ne jamais appeler un numéro mentionné dans un e-mail

PayPal ne vous demandera jamais de contacter son service client par téléphone via un e-mail. En cas de doute, connectez-vous directement à votre compte via l'application officielle ou le site PayPal.com.

Vérifiez directement sur PayPal

Si vous recevez un e-mail indiquant un changement d'adresse ou une transaction suspecte, ne cliquez sur aucun lien. Connectez-vous à votre compte PayPal et vérifiez l'historique des transactions.

Ne jamais installer un logiciel à la demande d'un "support client"

Aucune plateforme légitime ne vous demande d'installer un programme pour sécuriser votre compte. Si quelqu'un vous y incite, fuyez immédiatement !

Sensibiliser son entourage

Les personnes âgées ou les moins technophiles sont souvent les premières victimes de ce type d'arnaque. Expliquez-leur les risques et les réflexes à adopter.

PayPal doit-il réagir ?

Face à cette escroquerie inédite, PayPal ne peut plus se contenter de simples recommandations de vigilance. L'entreprise devrait :

• Limiter la taille des champs d'adresse pour empêcher ce type de détournement.
• Ajoutez des filtres intelligents pour détecter les messages suspects.
• Renforcer la sensibilisation des utilisateurs via des alertes et des notifications.

Les services de paiement en ligne doivent comprendre une chose essentielle : les escrocs redoublent d'ingéniosité, et la vigilance des utilisateurs ne peut suffire à elle seule. Il est temps d'agir pour combler cette faille.