Phishing Paypal : classique, sobre, efficace

Au fur et à mesure de nos études de phishing, nous avons pu observer une grande variété de techniques employées par les pirates pour s’assurer des revenus avec une efficacité maximale. Certaines arnaques utilisent un faux site Internet qui appelle les éléments HTML du véritable service Web pour proposer une apparence la plus conforme possible à celle du site détourné, certains vont même jusqu’à utiliser un algorithme de vérification de validité du code de carte bancaire comme nous avions vu dans le cas d’un phishing EDF par exemple.

Cette fois-ci, nous avons découvert un phishing d’un genre assez subtil, qui simule le temps de chargement de la page.

Etape 1 : la page d’accueil

Tout commence par un e-mail de phishing, un classique « mettez à jour votre compte », qui vous redirige vers une (fausse) page d’accueil aux couleurs de Paypal, sur laquelle il nous est demandé de valider nos identifiants pour mettre le compte à jour.

Etape 2 : veuillez patienter…

L’arnaque aurait pu s’arrêter là, en volant les identifiants et en redirigeant l’utilisateur sur le vrai site Paypal, comme nous l’avons déjà vu dans de précédentes versions. Mais l’arnaque va plus loin : une fois vos identifiants entrés, la page fait mine de s’exécuter et redirige le visiteur vers une page de chargement.

Cette page rend l’arnaque crédible puisqu’on croit avoir à faire au véritable site. Il s’agit en réalité d’une animation montrant que le processus est en cours de traitement, accompagnée d’un minuteur qui vous fait passer à l’étape suivante.

Etape 3 : trop n’est pas assez

Nous voici au cœur de l’arnaque. Après avoir donné notre mot de passe aux cyber-criminels, voici l’heure venue de « mettre notre compte à jour ». Cette fois, tout y passe : numéro de carte bleue, adresse, nom complet, etc.

Quelques précautions à prendre

• * Soyez tout d’abord méfiant lorsque vous recevez un e-mail d’un expéditeur que vous ne connaissez pas.
   
• * Cela ne suffit toujours pas, notamment dans le cas où vous recevez un e-mail d’un service auquel vous avez bien souscrit. Dans ce cas précis, vérifiez si certains éléments ne vous semblent pas étranges : images de mauvaise qualité, fautes d’orthographe, mots non traduits. Une entreprise ne vous demandera jamais vos identifiants de connexion et mots de passe depuis un e-mail.
   
• * En cas de doute, allez sur le site officiel du service via votre navigateur Web, sans cliquez sur le lien contenu dans l’e-mail.
   
• * N’hésitez pas à faire des recherches sur Internet pour vérifier si une alerte au phishing a été lancée auprès du service.
   
• * Dans tous les cas, vous pouvez appeler le service pour des précisions.
   
• * Enfin, ne vous fiez pas à l’adresse e-mail de l’expéditeur, puisque celui-ci peut utiliser un masque pour cacher sa véritable adresse e-mail.