Une vague d’escroqueries déferle sur PayPal et met en péril la sécurité des utilisateurs du service. Cette fraude, d’un niveau de sophistication inédit, ne repose pas sur une imitation grossière des e-mails de la plateforme, mais sur une exploitation pernicieuse de son propre système d’envoi de messages. À travers cette brèche, les pirates parviennent à générer des notifications 100 % authentiques qui passent sous tous les radars de sécurité. Le piège est implacable et des milliers d’utilisateurs pourraient déjà être victimes.
Une nouvelle arnaque sur PayPal contourne toutes les protections et piège même les utilisateurs les plus avertis
Par
Publié le 25 février 2025 à 13h52
15%Pas moins de 15 % des Français disent avoir été victimes d'une arnaque en 2022
Depuis février 2025, une nouvelle fraude frappe PayPal avec une efficacité redoutable. Contrairement aux tentatives de phishing habituelles où des e-mails falsifiés tentent d’abuser la vigilance des internautes, cette arnaque exploite directement une faille interne de la plateforme. Les cybercriminels n’ont même plus besoin d’envoyer des messages depuis des adresses suspectes : ils utilisent le système de PayPal pour diffuser leurs pièges à grande échelle, avec des e-mails légitimes provenant directement des serveurs de l’entreprise. Le danger est immense, car aucune mesure de sécurité classique ne permet de détecter l’arnaque.
Une attaque perfide qui infiltre les communications officielles de PayPal
L’astuce des escrocs repose sur une brèche dans le système de gestion des adresses de PayPal, explique BleepingComputer. Ce dernier autorise chaque utilisateur à enregistrer plusieurs adresses de livraison sur son compte, avec un champ permettant d’ajouter des détails spécifiques comme un numéro d’appartement ou un code d’accès. Or, ce champ offre un espace texte bien plus long que nécessaire, et c’est précisément ce que les fraudeurs exploitent.
Les pirates enregistrent un compte sous une fausse identité, ajoutent une nouvelle adresse, et insèrent un texte frauduleux dans le champ prévu pour les précisions. Ce message imite à la perfection une confirmation d’achat d’un produit onéreux, souvent un MacBook ou un iPhone, avec un montant affiché en dollars. L’e-mail généré automatiquement par PayPal reprend fidèlement ce texte et parvient directement dans la boîte de réception de la victime, signé par l’adresse officielle "service@paypal.com".
L’effet est immédiat. Qui ne paniquerait pas en voyant une alerte PayPal confirmant l’achat d’un objet coûteux qu’il n’a jamais commandé ? Pris de panique, l’utilisateur cherche à réagir au plus vite. C’est là que l’arnaque prend toute son ampleur.
Le piège se referme : un faux support client qui vole tout
Chaque e-mail frauduleux contient un numéro de téléphone que l’utilisateur est invité à composer d’urgence pour "contester l’achat". À l’autre bout du fil, une personne se fait passer pour un conseiller du service client PayPal, affichant un ton rassurant et une fausse bienveillance.
L’escroc guide alors la victime pas à pas dans une prétendue procédure d’annulation. Il lui demande d’accéder à un site sécurisé où elle devra entrer un "code de vérification". Ce code, en réalité, déclenche l’installation d’un logiciel de prise en main à distance. En quelques secondes, les pirates obtiennent un accès total à l’ordinateur, avec la possibilité de :
- Récupérer les identifiants bancaires enregistrés dans le navigateur
- Accéder aux comptes de messagerie et aux réseaux sociaux
- Modifier les mots de passe des services en ligne
- Activer des transactions bancaires frauduleuses en toute discrétion
Dès que l’escroc a obtenu ce qu’il cherche, il coupe la communication et le logiciel espion continue d’opérer en arrière-plan, siphonnant les données sans éveiller le moindre soupçon.
Pourquoi cette fraude est plus dangereuse que les autres ?
La plupart des cyberattaques sont détectables en prêtant attention à certains détails : une adresse e-mail suspecte, des fautes de frappe grossières, des liens menant vers des sites douteux. Ici, aucun de ces indices n’est présent.
Les e-mails proviennent directement des serveurs PayPal, contournant ainsi toutes les protections mises en place par les boîtes e-mail. Les filtres anti-spam ne peuvent pas les bloquer, car ils respectent toutes les normes de sécurité utilisées par les communications officielles de PayPal.
Même les internautes les plus aguerris risquent de tomber dans le piège, car les procédures frauduleuses imitent à la perfection le véritable support client. Tout semble réel, du ton employé par les faux agents jusqu’aux pages web frauduleuses qui ressemblent à s’y méprendre à celles de PayPal.
Comment éviter le piège ?
Les escrocs misent sur la panique et la précipitation pour piéger leurs victimes. La meilleure arme reste le calme et la vigilance.
Ne jamais appeler un numéro fourni dans un e-mail, même s’il semble officiel. PayPal n’inclut jamais de numéro de téléphone dans ses e-mails de confirmation. En cas de doute, il faut se connecter directement à son compte depuis l’application officielle ou en entrant l’adresse "paypal.com" dans la barre de recherche du navigateur.
Si un achat suspect est signalé dans un e-mail, il faut vérifier l’historique des transactions PayPal avant d’entreprendre toute action. Si aucune transaction frauduleuse n’apparaît, il s’agit probablement d’une arnaque.
Si un numéro de téléphone figure dans un e-mail PayPal, il est impératif de ne pas l’appeler. Les services clients légitimes ne demandent jamais d’installer un logiciel pour sécuriser un compte.
Tout e-mail suspect doit être signalé immédiatement à l’adresse phishing@paypal.com. Cette action permet aux équipes de sécurité de PayPal d’identifier et de bloquer les comptes frauduleux utilisés pour générer ces messages.