Les utilisateurs de PayPal sont de nouveau ciblés par une attaque phishing. Cette arnaque consiste à voler des données pour commettre des fraudes à la carte bancaire.
Repérée il y a quelques jours par ESET, société slovaque spécialisée en cybersécurité, l’attaque sévit toujours. Son principe est simple, elle repose sur le phishing (hameçonnage en français).
Méthode souvent utilisée par les pirates informatiques, le phishing consiste à usurper l’identité d’un site internet de confiance, ici PayPal, via un email, afin de récupérer les données personnelles d’utilisateurs.
Reposant sur la crédibilité, l’attaque se doit d’être convaincante et alarmiste, afin d’inciter l’utilisateur à ouvrir le mail puis agir. Dans le cadre de PayPal, un mail est envoyé aux propriétaires d’un compte PayPal. L’utilisateur ouvrant le mail sera invité à sécuriser son compte en cliquant sur le lien affiché dans le corps du mail,. Sans quoi l’accès à son compte sera limité tant qu’une sécurisation de celui-ci ne sera pas effectuée.
En cliquant sur le lien, les victimes de l’attaque sont redirigées vers un site identique, en tous points de vue, à celui de PayPal. La page de destination est même en « HTTPS », c’est à dire prétendument sécurisée et présente le fameux cadenas fermé dans la barre de l’URL, afin d’accentuer le sentiment de légitimité. L’illusion est presque parfaite.
Sur cette page, l’on invite les utilisateurs à se connecter avec leurs identifiants et mots de passe PayPal. Données systématiquement conservées et envoyées aux pirates informatiques. Mais l’objectif de l’attaque étant de vider les comptes des victimes, le site va ensuite leur demander d’autres informations personnelles :adresse de facturation, nom, date de naissance, numéro de téléphone, mais surtout, données de cartes de crédit, y compris le cryptogramme visuel.
Des risques qui peuvent être évités
Après avoir rempli tous les champs, les utilisateurs sont rassurés : leur compte PayPal est désormais sécurisé. En réalité, toutes les données renseignées sont envoyées aux pirates informatiques, qui peuvent ensuite les utiliser pour usurper l’identité des utilisateurs, vider leurs comptes, voire commettre des fraudes à la carte bancaire.
Bien que convaincantes et de mieux en mieux maquillées, il est possible d’éviter ce genre d’arnaques, en suivant quelques conseils simples. Prenez l’habitude d’analyser les adresses mail des expéditeurs, celles des pirates sont généralement génériques, voire même étranges. Les URL des sites vers lesquelles les victimes sont redirigées doivent également être vérifiées : souvent très similaires à celles des sites légitimes, elles ne correspondent pas exactement.
Le plus simple, pour vous assurer que votre compte PayPal est sécurisé, c’est de vous y rendre en tapant vous même l’adresse directement dans votre navigateur. S’il existe des raisons de protéger votre compte, des instructions vous seront communiquées directement après votre connexion.