Attention à l'arnaque PayPal «Nouvelle connexion depuis un périphérique inconnu»
Fin décembre, des chercheurs d'ESET ont remarqué que les utilisateurs de PayPal en Amérique latine étaient ciblés par une campagne de phishing qui pourrait se poursuivre encore aujourd'hui. Malheureusement, il est difficile de dire quelle est l'ampleur de l'attaque et nous ne savons pas combien de personnes en ont été victimes. Quelle que soit l'échelle, cependant, cette arnaque de phishing PayPal est digne d'intérêt pour plusieurs bonnes raisons.
D'une part, les pirates qui l'ont organisé ont utilisé des astuces ingénieuses d'ingénierie sociale pour essayer de maximiser le nombre de victimes. Ils savaient que chaque compte PayPal compromis pouvait potentiellement générer des gains financiers importants, mais ils n'allaient jamais se contenter de l'argent. Voici comment se déroule toute l'arnaque.
Table of Contents
Une alerte e-mail de connexion inhabituelle
Comme vous pouvez l'imaginer, l'attaque commence par un e-mail qui, dans ce cas particulier, tente de vous convaincre qu'une personne non autorisée a accédé à votre compte PayPal. Pour rendre le message plus convaincant, les pirates incluent la date de l'incident supposé ainsi que des détails sur le système d'exploitation et le navigateur de l'intrus. L'e-mail indique également que votre compte a été verrouillé et que vous pouvez y accéder en suivant un lien et en "confirmant votre identité". Ceux d'entre vous qui s'intéressent activement à la cybersécurité savent probablement ce qui va se passer ensuite.
Ils savent également que ce n'est guère une tactique révolutionnaire. Les hameçonneurs tentent souvent de voler les informations de connexion des utilisateurs en les persuadant que leurs comptes peuvent avoir été piratés. En effet, lorsqu'ils sont confrontés à ce scénario particulier, les gens ont tendance à paniquer et, dans leur hâte, ils oublient souvent certaines erreurs flagrantes commises par les criminels.
Si vous cliquez dessus, vous serez dirigé vers une fausse page PayPal conçue pour ressembler à la vraie chose. Tout d'abord, vous devez relever un défi CAPTCHA, puis vous êtes invité à fournir vos informations de connexion PayPal.
Il ne s'agit pas seulement du nom d'utilisateur et du mot de passe cette fois
Dans une attaque de phishing typique, une fois que les victimes ont donné leurs identifiants de connexion, un faux message d'erreur les invitant à réessayer est affiché, ou elles sont simplement redirigées vers leurs comptes réels. Dans ce cas, les choses sont un peu différentes.
Après que les données de connexion ont été volées, le faux site Web vous indique que votre compte PayPal est toujours verrouillé en raison de l'accès présumé non autorisé. Pour le déverrouiller, vous devez vérifier vos informations personnelles. Le premier formulaire vous demande votre nom, votre adresse physique, votre numéro de téléphone et votre date de naissance. Un deuxième formulaire vous demande les détails de votre carte de crédit, et un troisième vous invite à saisir des informations relatives au compte bancaire associé à votre profil PayPal. Enfin, il vous est demandé de "lier" votre compte de messagerie en fournissant l'adresse et le mot de passe.
Les captures d'écran d'ESET montrent que les pirates ont vraiment réussi à créer une page de phishing qui semble légitime. Les logos, les couleurs et les polices sont tous plus ou moins parfaits, et les pirates ont même eu la peine d'installer un certificat SSL, ce qui signifie que les personnes qui apprennent à rechercher le cadenas vert dans la barre d'adresse verront et supposera que la page est complètement sûre. En d'autres termes, il y a beaucoup de choses qui pourraient vous faire croire que vous sécurisez vraiment votre compte PayPal. Là encore, il existe de nombreux autres signes révélateurs qui, s'ils sont remarqués, vous montreront que vous êtes victime d'une arnaque à vos données personnelles.
Repérer quelques écarts est tout ce qui est nécessaire pour rester en sécurité
La façon dont certains clients de messagerie modernes affichent les messages dans votre boîte de réception signifie qu'il peut être difficile de distinguer un e-mail malveillant d'un message légitime. Néanmoins, si vous faites assez attention, vous verrez toujours des erreurs qui peuvent vous avertir.
Le rapport d'ESET ne dit pas si les hameçonneurs ont pris la peine d'usurper l'adresse e-mail de l'expéditeur, mais même si cela semble correct, vous pouvez voir, par exemple, que le message ne contient pas de logos ou d'autres fonctionnalités de mise en forme généralement associées à ce type de communication . En plus de cela, bien que nous ayons vu bien pire, le texte contient quelques erreurs grammaticales - un cadeau commun dans les attaques de phishing.
Ceux qui ne remarquent pas les erreurs grammaticales peuvent toujours repérer le domaine hébergeant la page de phishing. Les pirates peuvent facilement mettre un cadenas vert dans la barre d'adresse de votre navigateur, mais ils ne peuvent pas changer l'adresse réelle, ce qui signifie qu'un simple coup d'œil sur l'URL vous montrera que vous n'entrez pas vos informations sur le vrai PayPal site Internet.
Et même si vous ne voyez pas cela, vous pouvez toujours remarquer quelques choses qui semblent étranges ainsi que quelques autres qui semblent carrément fausses.
Le défi CAPTCHA au début de l'attaque est un ajout intéressant, par exemple. D'une part, son placement semble uniquement logique compte tenu du fait que quelqu'un aurait tenté de s'introduire dans votre compte. Là encore, un défi CAPTCHA à ce stade particulier est inhabituel, ce qui pourrait vous faire réfléchir à deux fois avant de passer à autre chose.
Vous êtes beaucoup plus susceptible de réaliser que quelque chose ne va pas lorsque la page de phishing vous demande votre mot de passe de messagerie. PayPal ne devrait jamais avoir ce genre d'informations, et il ne les demanderait jamais. Nous espérons sincèrement que lorsqu'ils verront cette demande particulière, beaucoup d'entre vous sauront instantanément qu'ils sont arnaqués. Malheureusement, à ce moment-là, ils auront déjà donné des tonnes d'informations personnelles, ce qui montre que la seule véritable façon de rester en sécurité est de garder les yeux ouverts à tout moment et de faire attention à chaque clic.