Les criminels essaient toujours de mettre la main sur votre argent durement gagné, et leur dernière astuce est simple : envoyer une facture légitime via PayPal pour un article de grande valeur que vous n’avez pas acheté. Comment fonctionne cette escroquerie ? Comment les escrocs font-ils pour utiliser une vraie facture PayPal ?
La facturation PayPal permet aux escrocs d’entrer dans votre boîte de réception
Traditionnellement, les escrocs et les spammeurs sont relativement faciles à repérer. S’ils ne sont pas repérés par les filtres anti-spam de votre fournisseur d’accès, certains détails les trahissent, pour peu que vous sachiez quoi chercher.
Les courriels sont souvent usurpés, c’est-à-dire que l’adresse électronique figurant dans le champ « from » n’est pas authentique, et ils proviennent parfois de domaines similaires. Ils sont souvent rédigés dans un langage étrange et vous promettent l’amour, la richesse au-delà de vos rêves les plus fous ou la possibilité d’aider un ancien chef d’État temporairement appauvri. Dans presque tous les cas, ils contiennent des liens qui, s’ils sont cliqués, installent des logiciels malveillants sur votre ordinateur ou essaient de vous inciter à donner vos coordonnées bancaires. Il s’agit de faux, et il est facile de s’en rendre compte.
Les progrès réalisés dans le domaine des modèles de grands langages et de l’IA générative ont permis d’éliminer certains de ces pièges. Un modèle ChatGPT formé à la langue anglaise ne fait pas beaucoup de fautes de grammaire ou d’orthographe, et l’IA peut être utilisée pour créer des messages d’escroquerie convaincants presque sans effort, avec des images appropriées. Bien que la politique d’utilisation d’OpenAI interdise l’utilisation de l’outil pour des gains illégaux, des activités frauduleuses ou trompeuses, ou des activités qui « présentent un risque élevé de préjudice économique », les escrocs ne sont pas particulièrement connus pour leur adhésion aux règles établies, et il est trivial d’exécuter votre propre modèle de langage large hors ligne, même sur un Raspberry Pi.
Bien que cela améliore la crédibilité des courriels frauduleux si les escrocs choisissent d’utiliser une IA générative, les autres indicateurs sont toujours présents, et si vous êtes prudent et que vous faites attention aux noms de domaine et à l’adresse, vous ne serez probablement pas victime d’un courriel frauduleux.
Les factures de PayPal sont différentes. PayPal est une organisation de confiance, sans laquelle le commerce électronique serait paralysé. Les messages électroniques de PayPal arriveront toujours dans votre boîte aux lettres, quel que soit votre fournisseur d’accès. Il n’y a pas d’usurpation d’identité, ni de liens douteux. C’est légitime et il est donc difficile de savoir s’il s’agit d’une arnaque.
Et tout le monde peut créer une facture avec PayPal. C’est exactement ce que font les cybercriminels.
Comment les escrocs peuvent vous facturer via PayPal
Après avoir éliminé vos filtres anti-spam et sans indices évidents que la facture est une escroquerie, vous pouvez vous retrouver avec quelque chose comme ceci dans votre boîte de réception.
Vous vérifiez que les liens externes sont authentiques et, rassuré, vous cliquez sur l’un d’eux pour afficher la véritable facture PayPal sur le véritable site web de PayPal. Vous pouvez alors payer ou annuler la facture.
Cette facture prétend provenir de « Bitcoin Exchange », mais nous avons vu d’autres factures fallacieuses pour des cartes-cadeaux et pour des dépenses effectuées par PayPal lui-même. Pour les escrocs, les options sont infinies et il est tout à fait possible que certaines personnes ou entreprises cliquent sur le bouton « Payer ».
L’une des raisons pour lesquelles les escroqueries à la facture PayPal Bitcoin et autres escroqueries PayPal liées à la blockchain sont populaires est que la plupart des gens ne comprennent pas vraiment les crypto-monnaies. Dans l’esprit de beaucoup, elles sont associées à la spéculation, aux escroqueries pour s’enrichir rapidement et aux transferts anonymes. Vous pouvez même craindre d’être victime d’une escroquerie par usurpation d’identité. Même si vous ne souhaitez pas investir vous-même dans les crypto-monnaies, vous devez savoir ce que sont les crypto-monnaies et comment elles fonctionnent.
Comment fonctionnent les factures PayPal ?
Si vous utilisez régulièrement PayPal sur votre ordinateur, il se peut que vous l’ayez paramétré de telle sorte que vous n’ayez même pas besoin de vous connecter à votre compte PayPal. Il vous suffit de cliquer sur le gros bouton bleu et, comme par magie, le montant requis disparaît de votre solde PayPal, pour ne plus jamais réapparaître.
PayPal fournit également un code QR pour les factures. Non seulement vous pouvez recevoir une facture par e-mail lorsque vous êtes en déplacement, mais vous pouvez également accéder directement à la facture sur votre smartphone. Il vous suffit de pointer votre appareil photo sur le carré bleu ! Une écriture minuscule sur un écran de 5 pouces augmente encore la probabilité que vous cliquiez sur le bouton. Comme l’indique clairement le slogan de PayPal, c’est simple : « Scannez. Payez. Allez-y. »
À ce niveau, l’escroquerie est simple : inciter les gens à cliquer sur un bouton et recevoir une grosse somme d’argent en retour.
Comment les escrocs utilisent-ils les fausses factures PayPal ?
Même si vous ne payez pas la facture, les escrocs ont d’autres astuces pour vous piéger. Le courriel contient également un message du vendeur, qui indique que le paiement a déjà été effectué, ainsi que le texte suivant : « Appelez-nous ». [sic] pour tout litige concernant le paiement et demandez un remboursement à [phone number] ».
Ignorant pour l’instant la majuscule aléatoire, il est possible que vous soyez suffisamment inquiet pour appeler le numéro, ce qui peut donner lieu à l’une des deux choses suivantes.
Les escrocs peuvent essayer de vous soutirer davantage d’informations, soit par le biais d’un processus de vérification d’identité frauduleux, soit en vous demandant vos coordonnées bancaires, soi-disant pour pouvoir vous rembourser.
Ils peuvent également essayer de vous persuader d’installer un outil d’administration à distance sur votre ordinateur. Vous pouvez probablement deviner à qui vous confiez le contrôle…
Comme l’e-mail et la facture proviennent réellement de PayPal, il n’est pas impossible que certaines personnes se fassent avoir. N’en faites pas partie.
Ne tombez pas dans le piège de l’arnaque à la facture PayPal
En l’absence d’indices évidents indiquant que la facture n’est pas authentique, faites vos recherches avant de payer la facture ou d’appeler le numéro.
La première chose à se demander est si vous avez acheté ou essayé d’acheter l’article en question. Si la réponse est non – parce que dépenser 499,99 $ en crypto-monnaie via votre compte PayPal n’est pas quelque chose que vous envisageriez de faire – il s’agit d’une escroquerie.
Vous pouvez également faire des recherches sur les coordonnées figurant dans l’e-mail et la facture.
Dans notre exemple de facture, l’adresse électronique du vendeur supposé est « larrypeters33@balawo.com ». Le domaine d’hébergement est actuellement inactif, mais un rapide coup d’œil sur l’Internet Archive Wayback Machine a révélé qu’il s’agissait auparavant d’un site WordPress hébergeant des extraits de code chinois aléatoires et d’autres détritus récupérés dans des tutoriels. En bref, cela n’inspire pas confiance quant à l’authenticité du vendeur.
Le numéro de téléphone est un autre indice. Grâce à un outil de recherche gratuit, nous avons pu constater qu’il a été attribué le jour même de l’envoi du courriel, et nous pensons qu’il sera réattribué peu de temps après.
Une simple recherche d’un numéro sur Google peut révéler qu’il est souvent utilisé par des escrocs.
Comment les escrocs de PayPal ont-ils obtenu mon adresse électronique ?
Vous avez peut-être publié votre adresse électronique sur Facebook, Twitter ou un blog personnel, et elle a été récupérée à partir de là.
Il est beaucoup plus probable que votre adresse électronique ait été divulguée lors d’une violation de données. Les entreprises sont piratées en permanence et les informations relatives aux clients sont exfiltrées de leurs systèmes avec une régularité alarmante. Lors de la violation de données de Samsung en 2022, par exemple, les criminels ont réussi à voler les noms des clients, leurs coordonnées et informations démographiques, leurs dates de naissance et les informations relatives à l’enregistrement des produits, qui peuvent inclure le sexe, des données de géolocalisation précises, l’ID de profil du compte Samsung, le nom d’utilisateur et bien d’autres choses encore.
Selon haveibeenpwned, la personne qui nous a fourni l’exemple de courriel a vu son adresse électronique compromise dans au moins 10 violations de données différentes.
PayPal permet aux entreprises d’envoyer des factures en masse, par lots de 1 000 au maximum (pour la même facture), en téléchargeant un fichier CSV. Il serait facile pour les escrocs en puissance d’ajouter un nom (ou un nom d’utilisateur) à toutes les factures, mais ils ne l’ont pas fait, ce qui signifie qu’il est probable qu’ils n’ont pas le nom de la cible. La seule faille connue qui a révélé l’adresse électronique personnelle, mais pas le nom ou le nom d’utilisateur, est le piratage de Patreon en 2015.
Comment se protéger contre les fausses factures PayPal
PayPal fournit un guide simple et sensé sur les escroqueries par courrier électronique ; cependant, l’escroquerie à la facturation n’est pas encore répertoriée.
Voici notre conseil :
- Ne cliquez pas sur des factures à partir de liens contenus dans un e-mail, même s’il s’agit de liens authentiques. Vous pouvez vérifier les factures PayPal simplement en vous connectant au service dans un autre onglet ou navigateur.
- Ne payez pas une facture si vous n’êtes pas sûr à 100 % de son objet.
- N’appelez pas, n’envoyez pas d’e-mail et ne contactez pas le « vendeur » de quelque manière que ce soit.
- Ne divulguez pas votre adresse électronique principale.
- Utilisez un alias d’adresse électronique ou un service de protection des courriels pour donner des adresses électroniques différentes à des entreprises différentes.
- Consultez régulièrement haveibeenpwned pour voir si vos données personnelles ont été divulguées. Si une adresse électronique est compromise, désactivez-la.
Les factures frauduleuses de PayPal pour les bitcoins sont dangereuses
Ouvrir un e-mail pour trouver une facture PayPal authentique pour quelque chose que vous n’avez pas acheté est au mieux ennuyeux, et au pire, peut vous faire perdre de l’argent. Faites attention à vos médias sociaux, à vos comptes de messagerie et à votre sécurité Internet, afin de priver les criminels des informations dont ils ont besoin pour vous cibler efficacement.