Une arnaque par e-mail PayPal en cours exploite les paramètres d’adresse de la plate-forme pour envoyer de fausses notifications d’achat, incitant les utilisateurs à accorder un accès à distance aux escrocs
Au cours du dernier mois, Breachtrace et d’autres [1, 2] ont reçu des courriels de PayPal indiquant: « Vous avez ajouté une nouvelle adresse. Ceci est juste une confirmation rapide que vous avez ajouté une adresse dans votre compte PayPal. »
L’e-mail comprend la nouvelle adresse qui aurait été ajoutée à votre compte PayPal, y compris un message prétendant être une confirmation d’achat pour un MacBook M4, et pour appeler le numéro PayPal ci-joint si vous n’avez pas autorisé l’achat.
« Confirmation: Votre adresse de livraison pour le MacBook M4 Max 1 To (1098,95$) a été modifiée. Si vous n’avez pas autorisé cette mise à jour, veuillez contacter PayPal au +1-888-668-2508 », peut-on lire dans l’e-mail frauduleux.
Les e-mails sont envoyés directement par PayPal à partir de l’adresse « [email protected], » faisant craindre aux gens que leur compte ait été piraté.
Cependant, ceux qui ont reçu cet e-mail ont confirmé qu’aucune nouvelle adresse n’avait été ajoutée à leurs comptes. Dans notre cas, l’e-mail frauduleux a été envoyé à une adresse e-mail sans compte PayPal.
De plus, comme les e-mails sont des e-mails PayPal légitimes, ils contournent les filtres de sécurité et de spam. Dans la section suivante, nous expliquerons comment les escrocs envoient ces courriels.
Le but de ces courriels est d’inciter les destinataires à penser que leur compte a été piraté pour acheter un MacBook et d’effrayer le destinataire de l’e-mail pour qu’il appelle le numéro de téléphone « Assistance PayPal » de l’escroc.
Lorsque vous appelez le numéro, un enregistrement sera automatiquement lu indiquant que vous avez contacté le service client PayPal et que vous devez attendre qu’une personne d’assistance soit disponible. L’appel tentera ensuite de vous connecter à une personne du « service client ».
Cet escroc essaiera de vous faire peur en pensant que votre compte a été piraté et de vous convaincre de télécharger et d’exécuter le logiciel afin qu’il puisse vous « aider » à retrouver l’accès au compte et à bloquer la transaction présumée.
L’escroc vous dirigera vers un site comme pplassist [.] com et entrez un code de service donné par le faux employé de PayPal. La saisie de ce code téléchargera un client ConnectWise ScreenConnect [VirusTotal] depuis lokermy.numaduliton[.] icu ou d’autres sites, que l’escroc vous demandera d’exécuter.
À ce stade, nous avons raccroché au fraudeur et n’avons pas exécuté le programme sur nos appareils.
Cependant, dans les escroqueries précédentes comme celle-ci, une fois que l’auteur de la menace a accès à l’ordinateur, il tente de voler de l’argent sur des comptes bancaires, de déployer des logiciels malveillants ou de voler des données sur l’ordinateur.
Par conséquent, si vous recevez un e-mail légitime de PayPal indiquant que vous avez mis à jour votre adresse et qu’il contient une fausse confirmation d’achat, ignorez simplement l’e-mail et ne contactez pas le numéro de téléphone indiqué car il appartient à l’escroc.
Pour plus de sécurité, connectez-vous plutôt à votre compte PayPal et confirmez qu’aucune adresse supplémentaire n’a été ajoutée, et sinon, supprimez l’e-mail.
Comment fonctionne l’arnaque PayPal
Lorsque Breachtrace a reçu cet e-mail pour la première fois, nous étions confus car l’e-mail provenait de « [email protected] » à une adresse e-mail qui n’est pas associée à un compte PayPal.
De plus, les en-têtes des e-mails indiquent que les e-mails sont légitimes, passant les contrôles de sécurité des e-mails DKIM et provenant directement du serveur de messagerie de PayPal, comme indiqué ci-dessous.
Reçu: de mx1.phx.paypal.com (mx1.phx.paypal.com. [66.211.170.87])
par mx.google.com avec l’identifiant ESMPTS 41be03b00d2f7-ajouter f237d3e1si10521113a12.387.2025.02.18.07.30.09
pour [email protected]
Au début, on ne savait pas comment ces courriels légitimes étaient envoyés depuis PayPal jusqu’à ce que nous remarquions ce texte au bas de l’e-mail.
« Si vous souhaitez associer votre carte de crédit à cette adresse ou en faire votre adresse principale, connectez-vous à votre compte PayPal et accédez à votre profil », lit la notification par e-mail PayPal.
« Puisque cette adresse est une adresse cadeau, vous pouvez lui envoyer des colis en un seul clic. »
D’autres recherches ont révélé que les « adresses cadeaux » ne sont que des adresses supplémentaires que vous pouvez ajouter à votre profil PayPal.
Lors d’un test, Breachtrace a ajouté une nouvelle adresse à l’un de nos comptes et collé le faux message de confirmation d’achat du MacBook de l’escroc dans le champ Adresse 2.
Après avoir enregistré l’adresse, PayPal nous a envoyé le même e-mail de confirmation, nous informant de la nouvelle adresse que nous avons ajoutée, qui comprenait également le faux message d’achat.
Maintenant que nous savons comment ils génèrent l’e-mail à partir de PayPal, nous ne savons toujours pas comment ils font en sorte que PayPal l’envoie à toutes les cibles.
Après une analyse plus approfondie des en-têtes de courrier, nous pouvons voir que l’e-mail est en fait envoyé à l’adresse « [email protected] », qui est l’adresse e-mail associée à l’adresse PayPal de l’escroc.
Les en-têtes montrent en outre que cette adresse e-mail transfère automatiquement l’e-mail qu’elle reçoit à « [email protected] », un compte associé à un locataire Microsoft 365.
Ce compte est probablement une liste de diffusion, qui transmet automatiquement tout courrier électronique qu’il reçoit à tous les autres membres du groupe. Dans ce cas, les membres sont vous et moi, les cibles de l’escroc.
Lorsqu’ils ajoutent l’adresse frauduleuse à PayPal, la plate-forme de paiement enverra une confirmation par e-mail à l’adresse e-mail de l’auteur de la menace, qui la transmettra ensuite au compte Microsoft 365, qui la transmettra ensuite à tous les membres de la liste de diffusion, comme indiqué dans le diagramme ci-dessous.
PayPal permet cette arnaque en ne limitant pas le nombre de caractères dans les champs du formulaire d’adresse, ce qui permet aux acteurs de la menace d’injecter leur message frauduleux.
Pour résoudre ce problème, PayPal doit limiter le nombre de caractères dans le champ d’adresse à un nombre raisonnable de caractères, par exemple 50 caractères, sinon moins.
Breachtrace a contacté PayPal à propos de cette arnaque et attend une réponse à notre e-mail.