PayPal victime de phishing

La société de services Internet NetCraft a révélé la présence d’une faille dans le site de paiement en ligne PayPal, filiale d’eBay, qui permet de dérober frauduleusement le log-in d’un client du service, son numéro de carte de sécurité sociale (important aux Etats-Unis) et les détails de sa carte bancaire.

L’attaque par phishing, distribuée par un e-mail spammé, invite les membres de la communauté PayPal (ils sont des millions dans le monde !) à suivre un lien malicieux vers une fausse page de sécurité d’un site PayPal. La page s’affirme sécurisée, ce qui démontre une certaine maîtrise de la part des pirates. L’URL détournée exploite une faille dans PayPal qui permet au fraudeur d’injecter son propre code dans la page qui lui est retournée. Il en résulte un message d’erreur qui indique que la page « Will now be redirected to Resolution Center » (va être redirigée vers le centre de résolution). Et bien évidemment la page vers laquelle le client PayPal est redirigé lui demande de re-saisir les détails de son compte PayPal. La saisie est expédiée vers le serveur du fraudeur, puis une nouvelle page s’affiche et demande d’autres renseignements personnels. De la façon à laquelle est exploitée la faille de PayPal, qui s’appuie en particulier sur une véritable adresse URL d’une page du site de paiement, la fraude est difficilement détectable. Si l’internaute n’est pas capable de repérer la fraude dès le mail douteux reçu, en cliquant sur le lien qui lui est proposé il se précipite dans les mailles du filet tendu par les pirates.