En bref: Les escrocs savent que le meilleur moyen de faire tomber les gens dans le piège d’un e-mail de phishing est de le rendre convaincant et de suggérer qu’un manque de réponse entraînera des sanctions financières. Une nouvelle campagne qui utilise de fausses factures PayPal répond à ces deux exigences et s’avère un succès.
Krebs sur la sécurité rapports que les e-mails de phishing prétendent être une facture du service de facturation de PayPal demandant 600 $. De nos jours, la plupart des gens savent vérifier l’adresse e-mail des expéditeurs dans les messages suspects pour voir s’ils ont l’air faux, mais celui-ci provient de PayPal.com. L’e-mail comprend même un lien sur Paypal.com qui affiche la facture.
De plus, les en-têtes de message montrent qu’il a réussi les contrôles de validation des e-mails comme provenant de PayPal, et qu’il a été envoyé via une adresse Internet attribuée à la société de paiement. Non seulement cela en fait une escroquerie par hameçonnage extrêmement convaincante, mais cela devrait également garantir que le message est livré et ne se retrouve pas dans les dossiers de spam des destinataires.
Le message inclus peut ne pas être rédigé de manière aussi professionnelle que ce que vous attendez d’une grande entreprise comme PayPal. Néanmoins, il manque les fautes d’orthographe ou de grammaire qui peuvent exposer les e-mails comme des escroqueries.
“Il existe des preuves que votre compte PayPal a été consulté illégalement”, lit-on. “600,00 $ ont été débités de votre compte pour l’achat de la carte-cadeau Walmart. Cette transaction apparaîtra dans le montant automatiquement déduit de l’activité PayPal après 24 heures. Si vous pensez que vous n’avez pas effectué cette transaction, contactez-nous immédiatement au numéro sans frais .”
C’est en appelant le numéro de téléphone que l’escroquerie commence sérieusement. Les victimes sont accueillies par un soi-disant représentant du “service client” qui n’identifie aucune entreprise. Ils expliquent que la seule façon de résoudre le problème et d’éviter de payer l’argent est de visiter un site Web spécifique et de télécharger un outil d’administration à distance. Quiconque télécharge ce logiciel découvrira bientôt qu’il a perdu plus de 600 $.
Krebs écrit que les factures semblent provenir d’un compte PayPal Business compromis ou frauduleux qui permet aux utilisateurs d’envoyer des factures. La configuration convaincante des e-mails signifie que beaucoup sont déjà tombés dans le piège de l’arnaque ; il y a des allégations dans les commentaires de personnes qui se sont fait voler plus de 1 000 $. La meilleure solution pour les e-mails comme celui-ci, bien sûr, est de se connecter directement au service pour vérifier toute activité suspecte.
Avec une grande partie du monde en ligne désormais plus technophile que jamais, les criminels savent que leurs escroqueries doivent être beaucoup plus convaincantes que de se faire passer pour un prince nigérian. Une récente au Royaume-Uni impliquait des victimes aléatoires recevant de fausses clés USB Microsoft Office dans un emballage MS réaliste.
