Alors ? Phishing de la part de Paypal ? (ou pas) ?

Posted by

Bonjour, on va à la pêche aujourd’hui (ou pas)…

Tout d’abord, ne pas confondre Paypal et Ραурɑl … Je vous renvoie à mon article Collections de liens où vous trouverez quelque chose sur les homoglyphes…

J’ai donc reçu un mail de Paypal (et c’est très probablement un message authentique, car autour de moi tous ceux qui ont un compte Paypal l’ont reçu aussi)

On vous l’explique et on vous le chante sur tous les tons: quand vous recevez un mail de ce genre, redoublez de prudence.

Quels sont les signes pouvant déterminer le vrai du faux ? Contrôlez ceci:

  • les liens dans le message: passez la souris sur les liens sans cliquer, examinez scrupuleusement l’adresse web sous-jacente
  • les liens qui vous envoient vers un site web qui requiert vos login/password sont douteux
  • pour les experts, on peut examiner quel est le serveur mail qui vous a transmis ce message

Vous êtes probablement connectés (authentifiés) en permanence à Facebook, Gmail, Hotmail, etc. Un site malveillant peut utiliser ces authentifications pour faire des choses désagréables derrière votre dos, comme publier du spam sous votre nom à vos contacts. C’est une raison supplémentaire pour ne pas visiter des sites web à partir de liens reçus par e-mail.

La recommandation la plus sécurisante est d’ouvrir une nouvelle fenêtre de navigateur en mode privé (control-shift-P), et d’aller visiter le site de votre banque ou Paypal en tapant son adresse ou via vos favoris.

Passons maintenant à l’objet de cet article, à savoir un mail douteux reçu aujourd’hui.

30082016_154025Renvoyer vers paypal-communication.com est une méthode digne des pirates.

S’ils avaient fait les choses comme il faut, ils auraient utilisé communication.paypal.com qui se trouve dans leur “propriété”.

gyroSi je peux vous donner un très mauvais conseil, le nom communication-paypal.com (avec le trait d’union) est disponible à la vente à l’heure où j’écris cet article …

C’est MAL mais ce n’est pas tout.

La gestion de serveurs mail, c’est un de mes hobbies, on va regarder d’un peu plus près cette chose horrible que sont les en-têtes SMTP et qui n’ont presque plus de secrets pour moi.

Return-Path: <bounce-HP2v200000156db21b0408489e3f4bbe5cfc0250@mail.paypal.be>
...
Received: from mta107b.pmx1.epsl1.com (mta107b.pmx1.epsl1.com [142.54.244.107])
      (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
      (No client certificate requested)
      by v2.dmmail.eu (Postfix) with ESMTPS
      for <fredericXdemees.net>; Tue, 30 Aug 2016 13:07:13 +0200 (CEST)
...
Reply-To: "noreply@mail.paypal.be"
      <noreply-HP2v200000156db21b0408489e3f4bbe5cfc0250@mail.paypal.be>
Subject: =?UTF-8?Q?Mise_=C3=A0_jour_des_contrats_d'utilisation_PayPal?=
From: "PayPal" <paypal@mail.paypal.be>
To: fredericXdemees.net
Date: Tue, 30 Aug 2016 11:07:13 +0000

Que faut-il comprendre là-dedans ? Le message a été déposé sur mon serveur mail par une machine qui appartient à epsl1.com et non paypal.com. Encore un possible signe d’usurpation.

C’est encore MAL mais ce n’est pas encore tout.

En cas de doutes sur un message reçu se prétendant de chez eux, Paypal recommande de le retransférer à l’adresse spoof@paypal.fr . Ce que j’ai donc fait. J’ai retransféré l’e-mail en le précédant de ceci :

Bonjour,

J'ai reçu cet e-mail qui semble authentique ou bien est un phishing très
bien imité.
Néanmoins les liens redirigent vers
https://epl.paypal-communication.com/...

paypal-communication.com n'est pas paypal.com

J'aurais pu avoir confiance dans communication.paypal.com mais
paypal-communication.com ne me garantit pas que je vais voir une page
authentique de paypal.

De la même manière je n'aurais aucunement confiance dans une adresse telle
que service-paypal.com ou similaire.

S'il s'avère que ce mail est authentique, svp n'utilisez pas les méthodes
et procédés des truands, sinon plus personne ne s'y retrouvera.

Au plaisir de vous lire,

Frédéric De Mees
Belgique


La réponse de Paypal est arrivée un peu plus d’une heure plus tard:

Subject:   Votre question à la parodie et le phishing (KMM57008107V61779L0KM) :ppMC 
From:   spoof@paypal.fr 
Date:   Tue, August 30, 2016 14:57 
To:   "Frederic De Mees" <fredericXdemees.net> 
Priority:   Normal 

Bonjour Frederic De Mees, 

Le site internet que vous signalez est frauduleux. Ce type de site vous 
incite à entrer des informations personnelles telles que des numéros de 
cartes bancaires, des codes PIN ou des mots de passe.

Si vous avez saisi des informations financières ou personnelles sur un 
site frauduleux : 

• Changez immédiatement votre mot de passe et vos questions secrètes. 
• Contactez votre banque ou la société qui a émis la carte bancaire 
associée à votre compte PayPal et informez-les de la situation. 
• Examinez votre historique de transactions PayPal pour vous assurer 
qu'il ne présente aucune transaction non autorisée.

Pour en savoir plus sur les sites frauduleux et sur la sécurité en 
ligne, cliquez sur le lien Sécurité en bas de chaque page PayPal.

Cordialement,

PayPal

Copyright © 1999-2016 PayPal. Tous droits réservés. 
PayPal (Europe) S.à r.l. et Cie, S.C.A. Société en Commandite par 
Actions 
Siège social : 22-24 Boulevard Royal L-2449, Luxembourg 
RCS Luxembourg B 118 349

Conclusion, c’est un faux !

(et pourtant c’est un vrai, mais Paypal l’ignore)

 

 

 

 

4 comments

  1. Ouais mais bon… Au final, c’est un vrai ou un faux ?

    Parce que pour l’instant, je les signale comme phishing à Google. Si c’est pas du phishing, et que c’est bien Paypal qui utilise ce nom, c’est des imbéciles finis !

    1. Je précise que ma question est due au fait que je comrpends pas ta conclusion: “C’est un faux, mais en fait c’est un vrai et Paypal l’ignore… ” J’ai pas compris où tu veux en venir.

    2. Bonjour Akim,

      C’est un vrai. Mais encore aujourd’hui Paypal envoie un mail mensuel avec le sujet: “Consultez les transactions récentes sur votre compte”. Le bouton cliquable contient un lien vers https://epl.paypal-communication.com/T/v200…..identifiant-de-tracking
      Donc rien n’a changé et le domaine COMMUNICATION-PAYPAL.COM est toujours à vendre au premier gogo qui veut impersonifier Paypal.
      Je n’ai plus relancé Paypal là-dessus, vu l’incompétence de leur help desk, on perd son temps.

  2. Merci pour ta réponse. Les meilleure arme reste donc de déclarer ces messages comme tentatives de phishing lorsque c’est facile comme chez Google. PayPal finira peut-être par réagir.

Leave a Reply

Your email address will not be published. Required fields are marked *