PayPal phishing scam email illustration

J’ai reçu un e-mail PayPal «vérifié», mais c’était une arnaque. Voici comment je savais

par

Il y a environ un mois, j’ai reçu un e-mail d’arnaque qui m’a presque trompé.

Il prétendait provenir de PayPal, m’avertissant une charge de près de 1 000 $ qui a été «enregistrée à un nouveau profil». Le message impliquait qu’une sorte de portefeuille cryptographique était connectée à mon compte, et elle a fourni un numéro à appeler si je ne reconnaissais pas l’activité.

Normalement, je ne tiendrais pas compte de ce genre de message comme évidemment frauduleux, mais j’ai vu que l’e-mail provenait d’une adresse légitime @ paypal.com. Il comprenait également un bouton «configurer votre profil» en bas, ce que mon navigateur a montré comme un lien vers le site Web réel de PayPal.

J’ai finalement déduit que c’était, en fait, une arnaque et que je pouvais ignorer en toute sécurité l’e-mail. Mais rendre cette détermination nécessitait une apparence plus profonde que les conseils habituels sur la façon de repérer les messages frauduleux.

Cette chronique est apparue pour la première fois dans le conseiller, la newsletter hebdomadaire des conseils techniques de Jared. Inscrivez-vous pour obtenir des conseils technologiques comme celui-ci tous les mardis.

Un examen plus approfondi de l’e-mail de l’arnaque

Comme l’a rapporté Kurt Knutsson de Cyberguy à la fin de juin, PayPal génère en fait ces e-mails… mais à la demande de escrocs qui abusent des outils d’adresse et de profil secondaires du site. Quelques fils Reddit ont plus de détails sur la façon dont tout cela fonctionne.

Mais si vous n’avez pas le temps, voici l’essentiel:

  • L’attaquant crée un compte PayPal dans le but exprès de l’arnaque des gens.
  • L’attaquant ajoute un utilisateur secondaire ou une nouvelle adresse au compte, mais au lieu de saisir un nom d’utilisateur ou une adresse réel, il insére un message sur la façon dont vous devez appeler PayPal (avec un numéro de téléphone faux) sur l’activité.
  • L’attaquant intercepte ensuite l’e-mail que PayPal envoie pour cette activité et le retransmet aux victimes potentielles, exploitant un défaut connu du fonctionnement de l’authentification par e-mail.

En d’autres termes, alors qu’un changement d’adresse légitime inciterait un e-mail qui disait «Adresse mise à jour: 123 Main Street», ces escrocs interceptent et produisent des messages vérifiés par PayPal dans le sens de «l’adresse mise à jour: pour garantir la sécurité de votre compte, appelez PayPal à (le numéro de téléphone de Scammère va ici).»

L’e-mail qui en résulte provient d’une véritable adresse e-mail PayPal et a de grandes chances de passer des filtres à spam, mais le message à l’intérieur est complètement faux. Si vous appelez le faux numéro de support client, l’attaquant vous encouragera à installer un logiciel de bureau à distance, qu’il utilisera pour prendre le contrôle de votre ordinateur et faire toutes sortes de ravages.

Où la sagesse conventionnelle va mal

On ne sait pas pourquoi Paypal le permet. Si un utilisateur PayPal souhaite ajouter une autre adresse ou profil utilisateur à son compte, vous penseriez qu’il y aurait une limite de caractères ou un chèque d’adresse pour empêcher les spammeurs d’insérer de faux messages multi-phrases à sa place. (Paypal n’a pas répondu à plusieurs demandes de commentaires.)

Mais c’est aussi à côté du point plus large, à savoir que les conseils conventionnels pour détecter les escroqueries à phishing peuvent ne pas toujours s’appliquer.

Microsoft, par exemple, dit que vous pouvez repérer les e-mails d’escroquerie en recherchant des adresses e-mail incorrectes ou des liens suspects. Ce conseil n’aurait pas aidé ici. Même lorsque j’ai pris la mesure supplémentaire de l’inspection des en-têtes de messagerie, Gmail n’a signalé aucun problème avec l’authentification DKIM ou DMARC du message. C’était, en fait, un e-mail vérifié PayPal.

Ce que vous pouvez faire à ce sujet

Heureusement, une grande partie des autres conseils courants sur la repérage et l’évitement des escroqueries par e-mail s’applique toujours dans n’importe quel scénario:

Supposons que ce soit une arnaque: Il est naturel de paniquer lorsque vous recevez un message sur l’activité inattendue sur votre compte, et cela peut conduire à des actions et des erreurs téméraires. Pour tout e-mail ou SMS lié au compte, votre posture par défaut doit être une suspicion.

Enquêter sur le faux numéro de soutien: Lorsque j’ai recherché le numéro de téléphone sur le numéro de téléphone dans l’e-mail frauduleux PayPal, je l’ai trouvé sur le site d’escroquerie de Better Business Bureau, qui a rendu compte du type exact de faux e-mail que j’avais reçu.

En cas de doute, visitez le vrai site Web manuellement: N’appelez pas le numéro ou cliquez sur le bouton de connexion dans un e-mail suspect. Au lieu de cela, tapez l’URL du site Web de l’entreprise directement dans votre barre d’adresse ou recherchez son numéro de support client officiel. (Méfiez-vous lors de la recherche sur Google le numéro de support, car cela peut conduire à plus d’escroqueries.)

Recherchez d’autres signes d’avertissement: Dans mon cas, l’e-mail PayPal avait un tas d’autres drapeaux rouges suspects:

  • Grammaire étrange, comme ceci: « Si bien, vous pouvez ignorer. Bill en attente automatique accepté de ce compte. »
  • Adresse e-mail «à» non reconnue: tandis que l’e-mail est venu depuis PayPal, il a été abordé à Un «reçu3» dans un domaine que je n’ai pas reconnu.
  • Salutation générique: ironiquement, le pied de page par e-mail de PayPal comprend une note qui dit que «les e-mails de PayPal contiendront toujours votre nom complet», mais celui-ci ne l’a pas fait. (Certains schémas de phishing incluent des informations personnelles glanées à partir de la toile sombre, mais les messages génériques sont encore plus susceptibles d’être des escroqueries.)

Obtenez un deuxième avis: Une utilisation soignée d’outils d’IA comme Chatgpt est de publier une capture d’écran d’un e-mail suspect et de demander si c’est légitime. Le bot IA reprendra probablement tous les facteurs ci-dessus et confirmera qu’il s’agit d’une arnaque.

Demander à Chatgpt si un e-mail d'arnaque est en fait un e-mail d'escroquerie, avec la réponse suivante: "Oui, c'est une arnaque. L'e-mail que vous avez reçu est une tentative de phishing classique déguisée pour ressembler à PayPal. Quelques cadeaux: phrasé et formatage étranges: le message est maladroit "Facture automatique en attente acceptée à partir de ce compte 1." et "Votre nouveau compte vous a ajouté au compte Crypto Wallet" ne sont pas des phrases que PayPal utiliserait. Les entreprises légitimes écrivent attentivement. 2. Tactiques d'urgence et de peur: il essaie de vous effrayer avec une grande transaction (0,45) et pend un numéro de téléphone pour "soutien." Les e-mails PayPal réels ne jetteront pas les numéros de téléphone aléatoires pour que vous puissiez appeler. 3. Espoofed "Depuis" Adresse: Ce n'est pas parce qu'il dit que service@paypal.com ne signifie pas qu'il provient vraiment de PayPal. Les escrocs forgent souvent le "Depuis" en-tête. Ce qui compte, c'est le serveur d'envoi réel, que vous verriez dans les en-têtes de messagerie complets. À moins que les enregistrements DKIM / SPF / DMARC ne correspondent à Paypal, le message est frauduleux. Gmail Affichage "signé par. paypal.com" Peut parfois être truqué aussi - les escrocs exploitent les domaines de lookalike (comme PayPal.com avec un capital I) ou des relais de courrier piratés. 4. Répondre à la non-concordance: si l'adresse de réponse est différente de la "Depuis" Adresse (comme vous l'avez repéré), c'est un énorme drapeau rouge. Ils veulent que vous répondiez ailleurs, pas à PayPal."

Traitez le logiciel de bureau à distance comme un drapeau rouge géant avec des cornes à air et des banderoles attachées: Si un représentant du support supposé – que ce soit pour PayPal ou autrement – vous a contribué à installer des logiciels pour les aider à diagnostiquer le problème, vous êtes presque certainement sur le point de libérer des dommages incalculables à votre ordinateur et à votre vie numérique dans son ensemble.

Respirez: Les e-mails de l’escroquerie ont tendance à encourager l’action immédiate dans l’espoir d’induire une réaction paniquée. Mon principal conseil ici est d’arrêter, de respirer, de récupérer vos pensées et de ne jamais agir sur l’impulsion. (Même les professionnels de la sécurité les plus expérimentés peuvent ne pas le faire parfois.) Si je n’avais pas pris un battement pour y réfléchir, cet e-mail PayPal pourrait m’avoir obtenu.

Cette chronique est apparue pour la première fois dans le conseiller, la newsletter hebdomadaire des conseils techniques de Jared. Inscrivez-vous pour obtenir des conseils technologiques comme celui-ci tous les mardis.

Photo of author

À propos de l’auteur

Passionné de technologie et expert en hardware gaming depuis plus de 15 ans, je partage avec vous mon expertise pour vous aider à créer le setup gaming idéal.

Laisser un commentaire

Tous droits réservés 2026 Mon set-up gaming