Les menaces sont omniprésentes et nombreuses sur Internet. Qu’il s’agisse d’un virus, de malwares ou d’extensions malveillantes, vous devez toujours être sur vos gardes pour que votre ordinateur, votre réseau d’entreprises ou votre appareil mobile ne soit pas infecté par l’un de ces parasites informatiques.
La dernière arnaque par adresse email PayPal semble utiliser un compte de messagerie PayPal authentique
Un message arrive dans votre boîte de réception, prétendant venir de PayPal. Il utilise l’adresse service@paypal.com et a pour objet « Avertissement de compte PayPal ». Il renferme également une pièce jointe Microsoft Word.
Méfiez-vous de ce genre de message lorsque vous en recevez un. Il s’agit d’un email convaincant qui va probablement vous inciter à prendre des mesures afin de prévenir une fraude sur votre compte. N’ouvrez pas la pièce jointe, sinon votre ordinateur risque d’être infecté par des malwares.
Les arnaques paypal par email se multiplient
Nous sommes tous passés par là.
Combien d’entre nous ont déjà reçu un email dans notre boîte de réception, nous demandant de cliquer sur un lien ou d’ouvrir une pièce jointe, d’envoyer de l’argent ou de répondre immédiatement au message d’une manière ou d’une autre ?
Dans la plupart des cas, ces emails sont urgents et c’est ce qui éveille notre curiosité, voire peut nous menacer ou nous effrayer.
En réalité, les escroqueries par emails ne sont pas nouvelles et nombreuses sont déjà les victimes. Mais force est de constater qu’elles se sont beaucoup multipliées ces dernières années et elles sont de plus en plus audacieuses, sophistiquées et efficaces.
De nombreux fournisseurs de services Internet (FSI) sont devenus experts dans la détection et le blocage de spams. Étant donné que les messages malveillants envoyés via des emails légitimes sont de plus en plus nombreux et plus difficiles à détecter, les FSI s’efforcent de lutter contre les attaques cybercriminelles via la messagerie électronique. Pour leur part, les pirates informatiques continuent de chercher de nouveaux moyens de contourner les systèmes de sécurité informatique.
Selon un récent rapport de Symantec, les emails d’extorsion, c’est-à-dire ceux qui tentent d’obtenir de l’argent des victimes, ne cesse d’augmenter. Au cours des cinq premiers mois de 2019, l’enseigne a affirmé avoir bloqué 289 millions d’entre eux d’atteindre les utilisateurs finaux.
Quelques exemples d’escroqueries typiques à surveiller
Phishing
Le phishing est une technique via laquelle les cybercriminels conçoivent des emails pour tromper leurs cibles et les inciter à prendre des mesures qui peuvent impliquer le téléchargement de malware déguisé en document important, par exemple. Les victimes peuvent également invités à cliquer sur un lien qui les redirige vers un faux site web où on leur demande des informations sensibles comme les identifiants de connexion ou les mots de passe bancaires. De nombreux emails de phishing sont de grande envergure. Ils peuvent être envoyés à des milliers de destinataires. D’autres, par contre, ne visent qu’une catégorie de personne bien définie tels que les dirigeants d’entreprise.
Déni de service (DDoS)
Une attaque par déni de service (Distributed Denial of Service attack – DDoS) est une méthode dite « de force brute » dont le but est d’empêcher un service en ligne de fonctionner correctement. A titre d’exemple, les pirates peuvent envoyer un volume important de trafic à un site web de l’entreprise pour surcharger la capacité de ces systèmes à fonctionner, les rendant indisponibles aux employés. Une DDoS utilise des botnets qui sont généralement compromis par des malwares et sous le contrôle de cybercriminels.
L’attaque Man-In-The-Middle (MITM)
Il s’agit d’une méthode à travers laquelle les cybercriminels peuvent s’interposer discrètement entre un utilisateur et un service Web auquel il essaie d’accéder.
Via l’attaque MITM, le pirate peut par exemple créer un réseau Wi-Fi similaire à celui d’un hôtel pour duper ses clients et les inciter à ce faux réseau.
Une fois que la victime est connectée au réseau malveillant, il peut récolter toutes les informations que l’utilisateur envoie, tels que les mots de passe et les informations bancaires.
Injection SQL
L’injection SQL est un moyen par lequel un attaquant tente d’exploiter une vulnérabilité afin de prendre le contrôle de la base de données de ses victimes. De nombreuses bases de données sont conçues pour obéir à des commandes écrites dans le langage SQL.
Lors d’une attaque par injection SQL, le cybercriminel peut par exemple écrire des commandes SQL dans un formulaire Web qui demande des informations de nom et d’adresse. Si le site web et la base de données ne sont pas programmés correctement, la base de données pourrait essayer d’exécuter ces commandes.
Les kits d’exploitation zero-day
Ce genre d’attaque vise les vulnérabilités qui n’ont pas encore été corrigées dans les logiciels.
Ce nom vient du fait qu’une fois que le jour où un correctif est publié, de moins en moins d’ordinateurs sont exposés aux attaques cybercriminelles à mesure que utilisateurs téléchargent les mises à jour de leurs logiciels. Les kits d’exploitation zero-day sont souvent vendus et achetés sur le dark web.
Les analystes de Proofpoint ont rapporté une attaque potentielle du service de messagerie électronique légitime de PayPal dans le but de livrer du contenu malveillant. Plus précisément, ils ont découvert des emails dont l’objet était « Vous avez une demande d’argent » et qui semblaient provenir de PayPal.
Une escroquerie très sophistiquée par email frauduleux PayPal mise au jour
Des messages qui semblaient provenir de l’adresse email PayPal ont été utilisés pour livrer des malwares bancaires, notamment des Chevaux de Troie appelés Chthonic. Plutôt que de promettre au destinataire une somme d’argent, ou la possibilité de réclamer un héritage d’un parent perdu depuis longtemps, cette arnaque prétend qu’un paiement a été effectué sur le compte de sa victime et l’argent doit être remboursé.
Les emails d’escroquerie indiquent qu’une somme d’environ 90 euros ont été frauduleusement envoyés au compte de la victime et qu’un remboursement est demandé. Les emails contiennent les logos PayPal et semblent avoir été envoyés directement à partir du compte de messagerie members@paypal.com.
On ne sait pas exactement comment l’attaquant a réussi à usurper l’adresse email PayPal, ou comment l’email parvient à contourner le filtre antispam de Gmail. Ce qui est certain est que si la victime répond à l’email et effectue le paiement, elle perd 100 $. De plus, elle téléchargera automatiquement un malware sur son ordinateur, qu’il effectue le paiement ou non.
L’email contient un lien que l’utilisateur doit cliquer pour en savoir plus sur la transaction. Le lien contient une URL raccourcie qui renvoie la victime vers un document détaillant la transaction. Le document a une adresse goo.gl et le lien semble être une image JPEG contenant les détails de la transaction.
Cependant, s’il clique sur le lien, un fichier JavaScript (.js) sera téléchargé sur son ordinateur. Le script téléchargera ensuite un fichier exécutable flash qui, une fois exécuté, installera le malware Chthonic.
Chthonic a été livré via une arnaque par un email frauduleux PayPal
Ce malware est une variante du tristement célèbre malware bancaire de Zeus – Chthonic. Il a été programmé pour injecter son propre code et ses propres images dans les sites Web bancaires. Lorsque les victimes visitent leurs sites web bancaires, le malware saisit les noms de connexion, les mots de passe, les codes PIN et les réponses aux questions de sécurité.
De nombreuses variantes de malwares bancaires ciblent un petit nombre d’institutions financières. Par contre, Chthonic est capable d’enregistrer les informations saisies sur plus de 150 sites bancaires différents. Les victimes se trouvent principalement au Royaume-Uni, aux États-Unis, en Russie, au Japon et en Italie.
Chthonic est une sorte d’infection sévère pouvant causer beaucoup d’ennuis aux entreprises. S’il n’y a pas un programme de sécurité adapté sur votre ordinateur, vous ne savez peut-être même pas qu’un cheval de Troie est en train d’infecter votre système d’exploitation, car il peut fonctionner tranquillement.
Les chevaux de Troie permettent ensuite aux pirates d’espionner en arrière-plan leurs victimes ou d’installer un malware supplémentaire.
Le cheval de Troie peut, à son tour, envoyer les informations sensibles, telles que les coordonnées bancaires, aux pirates. L’une des principaux signes de la présence Chthonic est qu’il ralentit vos applications, votre connexion Internet.
Chthonic n’est pas le seul malware qui infecte les ordinateurs de ses victimes. Les chercheurs de Proofpoint ont déterminé qu’une autre variante auparavant inconnue, appelée AZORult, agit également de la même manière.
AZORult, une autre menace potentielle
Les chercheurs de Minerva Labs ont observé une souche de malwares voleurs d’informations, AZORult, qui se fait passer pour un programme d’installation signé de Google Update. Il agit en remplaçant le programme légitime Google Updater sur les ordinateurs compromis.
Mais pourquoi AZORult est une menace ?
AZORult peut causer des dommages importants au sein de votre organisation, car le code malveillant qu’il utilise est régulièrement mis à jour.
Selon ProofPoint, la version 3.2 intègre même la fonctionnalité qui permet aux pirates de voler l’historique de vos navigateurs Web, de détecter plusieurs portefeuilles de cryptomonnaie ou encore d’utiliser des proxys pour se connecter à votre compte.
L’autre fonctionnalité importante est que le malware inclut la prise en charge de liens de chargement illimités. Ceci permet aux cybercriminels de spécifier le fonctionnement du navigateur, par exemple en lui demandant de sauvegarder des mots de passe ou de télécharger des cookies pour des sites web spécifiques.
En outre, AZORult essaye à chaque fois de prendre la voie la moins courante pour voler les informations de leurs victimes et afin d’installer des ransomwares. Même si cela augmente les chances de détection par des anti-malwares, une installation réussie pourrait représenter un intérêt substantiel pour les acteurs.
Ce cheval de Troie est l’un des malwares les plus vendus dans le monde, notamment en Russie. Malgré son prix relativement élevé (100 $), les acheteurs préfèrent l’utiliser pour ses fonctionnalités étendues et parce qu’il offre une garantie élevée en ce qui concerne l’anonymat du pirate. Curieusement, Chthonic peut aussi mener une attaque en plusieurs étapes en utilisant le malware AZORult.
Comment savoir si un email provient réellement de PayPal ?
Voici comment identifier un email provenant réellement de PayPal :
Il sera toujours envoyé par paypal.com
Il s’adressera toujours avec le destinataire par ses noms et prénoms, ou bien par son nom commercial. Méfiez-vous donc des messages qui commencent par les expressions du genre « Salutations, cher client ».
Il ne vous demandera jamais de confirmer ni de fournir des informations sensibles comme votre mot de passe, vos informations bancaires, les données de votre carte de débit/crédit, etc.
Il ne vous demandera jamais de télécharger ni d’installer un logiciel particulier.
Au cas où vous auriez des doutes concernant la fiabilité de l’email, rendez-vous sur le site web de la marque et connectez-vous. Si l’équipe de PayPal essayait vraiment de communiquer avec vous, vous verriez certainement quelque chose dès que vous vous connectez. Si ce n’est pas le cas, vous feriez donc mieux d’ignorer l’email.
Quelques mesures pour éviter les arnaques par message PayPal
Le service PayPal est omniprésent.
Peu importe où vous vous trouvez, il y a de fortes chances que vous ayez entendu parler de cette marque internationale. Il n’est donc pas surprenant qu’elle ait été, et qu’elle pourrait une fois de plus, faire la une des actualités en matière de cybercriminalité. Les pirates vont toujours essayer d’envoyer des emails qui semblent provenir de la marque pour infecter vos ordinateurs avec les malwares.
L’une des solutions que vous pourrez adopter et de mettre à jour vos logiciels Microsoft Word vers une version plus récente. Cela protégera votre PC Windows contre les virus contenus dans les documents Word. Bien entendu, les versions de Microsoft Word à partir de 2010 ouvrent automatiquement les emails que vous téléchargez à partir d’Internet ou de la messagerie en mode « vue protégée ». Ceci empêchera tout malware de se répandre sur votre ordinateur. Mais dès qu’une mise à jour est disponible, vous devriez l’appliquer pour bénéficier de plus de protection contre les attaques de malwares.
Pour réduire le risque d’attaques via la messagerie électronique réussies, il est recommandé de mener des simulations de phishing dans le renforcer la sensibilisation à la sécurité chez vos employés. Vos équipes informatiques doivent concevoir de fausses attaques par phishing et tester la capacité des employés à reconnaître leurs éventuelles menaces sur le web.
Les experts en sécurité recommandent aussi de développer une culture de cybersécurité fiable qui intègre la cybersécurité et les processus métier, et qui encourage la collaboration entre les différents services.
Pour les utilisateurs qui ne disposent pas encore de systèmes de protection antimalwares et qui ne sont pas en mesure de détecter les liens compromis dans les emails, les risques d’attaques via le service PayPal est potentiellement élevé. PayPal a déjà été informé de cette menace et a déjà adopté des mesures pour s’en protéger. Mais ces mesures pourraient pousser les pirates à développer d’autres stratégies pour contourner à nouveau les défenses qui seront mises en place. De plus, l’approche combinée d’ingénierie sociale utilisée par les pirates pour demander de l’argent via ce service va sans aucun doute créer un risque supplémentaire pour les destinataires non formés ou peu attentifs à l’importance de la sécurité.
À propos de TitanHQ
Les employés répondent fréquemment aux emails de phishing et aux autres menaces envoyés via le web. Malheureusement, une étude a révélé que près des trois-quarts des employés ont été dupés par un test de phishing et ont fourni des informations sensibles aux attaquants.
Selon les chiffres émanant de ladite étude, 71 % des employés des 525 entreprises et qui ont été testées avaient au moins un employé qui avait divulgé leurs identifiants de connexion lors d’un test de phishing, contre 63 % en 2018. Dans 20 % des entreprises, plus de 50 % des employés testés ont été dupés par le phishing, contre 10 % l’année dernière.
Une autre étude réalisée par GetApp sur 714 entreprises a révélé qu’un quart des employés interrogées ont affirmé avoir au moins un employé ayant répondu à une attaque de phishing, divulguant ainsi ses identifiants de connexion.
Toujours selon cette étude, près de la moitié des employés ont cliqué sur des emails de phishing. Seulement 27 % des organisations proposaient une formation de sensibilisation à la sécurité à leurs employés.
30 % n’ont pas encore réalisé des simulations de phishing et 36 % de ces entreprises ne mettent pas en œuvre l’authentification multifactorielle sur les emails.
Si vous dirigez une entreprise et si vous êtes préoccupé par les attaques de phishing, TitanHQ peut vous aider. Nous avons développé une solution anti-spam et anti-phishing fiable, pouvant bloquer plus de 99,9 % des spams et des malwares.
Elle intègre un double moteur anti-virus qui permet de détecter les pièces jointes malveillantes. À cela s’ajoutent l’authentification DMARC et le sandboxing, des fonctionnalités essentielles pour effectuer des analyses approfondies des pièces jointes malveillantes.
La solution proposée par TitanHQ fonctionne en toute transparence avec Office 365 pour améliorer la détection du phishing et pour empêcher les spams, les emails de phishing et d’autres menaces web d’arriver dans les boîtes de réception de vos employés.
Contactez TitanHQ et bénéficiez d’une démonstration gratuite du produit de TitanHQ, ou contactez-nous pour bénéficier d’un essai gratuit de notre solution complète.
Questions fréquentes sur le phishing Paypal
Devriez-vous vous méfier d’une attaque de phishing utilisant le compte PayPal ?
Évidemment, car cette menace a déjà permis aux cybercriminels de piéger plus de 700 000 personnes, dont le montant demandé à chaque victime était de 45 euros. Oui, l’arnaque utilisant PayPal est bien ficelée.
Pourquoi PayPal n’a-t-il pas entrepris des solutions efficaces pour y remédier ?
Concrètement, la marque a déjà mis au jour cette forme d’escroquerie depuis fin 2011 et elle affirmait avoir déjà mis en place des solutions pour pouvoir la stopper. Seulement, elle n’a pas pu bien appréhender son évolution, car les cybercriminels rivalisent d’ingéniosité pour trouver de nouvelles tactiques afin que leurs attaques réussissent.
Comment identifier rapidement les emails frauduleux ?
Si vous résidez en France, sachez qu’une adresse PayPal valide doit toujours contenir le nom de domaine légitime de la marque : PayPal.fr. Si vous recevez un email qui prétend que vous avez reçu de l’argent, il suffit de vous connecter à votre compte PayPal et de vérifier que ce n’est pas une arnaque. L’autre conseil est de ne jamais agir dans l’urgence, même si l’email menace de supprimer votre compte si vous n’effectuez pas une action dans l’immédiat.
Que faire si vous recevez un email suspect qui semble venir de PayPal ?
Si vous consultez le site de PayPal et que vous constatez que votre solde est débiteur, il faut vous connecter directement à votre compte et entrer l’adresse dans votre navigateur, plutôt que de cliquer sur un lien intégré au message. Allez sur l’onglet « Aperçu du compte » et cliquez sur « Ramenez votre solde débiteur à un montant positif ». Après cela, vous n’avez qu’à choisir l’option qui vous convient le mieux. Quoi qu’il en soit, il est toujours recommandé de contacter directement l’équipe de PayPal.
Pourquoi est-il important de signaler une fraude potentielle liée à PayPal ?
Simplement, parce que cela permet de vous protéger, mais aussi de rendre le web plus sécurisé.