PayPal : le phishing était presque parfait

PayPal : le phishing était presque parfait
 

Un pirate a mis en place une attaque ciblant les utilisateurs français du porte-monnaie électronique d'eBay, avec beaucoup de soin.

Les tentatives d'escroquerie ciblant les utilisateurs de PayPal sont légion. Mais cette fois-ci l'arnaque, venue probablement de France, a été particulièrement bien préparée. Vendredi 9 janvier 2010 vers 21h20, certains utilisateurs ont commencé à recevoir un courriel prétendument envoyé par PayPal.

Celui-ci leur demandait de mettre à jour le contrat les liant au système de paiement électronique. Or ce courriel ne provenait pas de la filiale d'eBay, mais d'un pirate désirant récupérer les identifiants (login et mot de passe) des comptes utilisateurs.

« L'attaque a été particulièrement bien conçue. L'e-mail expédié était écrit dans un bon français. Les pirates ont repris textuellement un courriel envoyé par PayPal à ses utilisateurs en novembre 2009 dans lequel il leur était demandé de réactualiser leur contrat, analyse Damien Bancal, responsable du site spécialisé dans la sécurité Zataz à l'origine de la découverte de l'arnaque (1). L'adresse vers laquelle les internautes étaient amenés à se connecter pour saisir leurs données était en .fr. »

Firefox et IE n'ont rien vu

Un élément suffisamment rare pour être souligné, dans la mesure où les administrateurs de ces URL doivent pouvoir prouver à l'Afnic, le gestionnaire des noms de domaine, leur domiciliation sur le sol français.

« Le nom de domaine a été déposé auprès d'Amen au Royaume-Uni. Le site frauduleux est quant à lui hébergé en Italie. Il est très difficile voire impossible de remonter aux pirates, qui auront sans doute loué les services d'hébergement avec une carte bancaire piratée, explique Damien Bancal. Les attaques sont de plus en plus fines. » A ce propos, ni l'antiphishing de Mozilla, ni celui d'Internet Explorer n'ont identifié cette tentative d'hameçonnage.

Un vrai e-mail de PayPal plagié

De plus, la fausse page aux couleurs de PayPal était très bien imitée. L'adresse même « alerte-epay.fr/secure.paypal.fr », rappelant eBay de surcroît, pouvait induire en erreur un internaute peu attentif. « Le site vous invitait à saisir vos mot de passe et login, grâce auxquels les pirates peuvent vider les comptes des utilisateurs. Les comptes peuvent être également utilisés comme mules électroniques pour blanchir de l'argent avant de le transférer », rappelle Damien Bancal. Le site n'est aujourd'hui plus accessible.

PayPal, qui confirme le plagiat de son e-mail envoyé le 21 novembre 2009 à ses utilisateurs français, se dédouane : « Tous les e-mails que nous expédions contiennent le nom du destinataire. Ils sont toujours expédiés depuis l'adresse paypal@email.paypal.fr. Certes nous avions inséré un lien pointant vers notre site, mais dès que l'utilisateur a un doute, nous lui conseillons de saisir manuellement notre adresse Web pour se connecter. » Une recommandation à appliquer quotidiennement pour éviter les mauvaises surprises.

(1) Damien Bancal est un collaborateur occasionnel de 01net.