Vous avez reçu une facture en bitcoins de PayPal ? Il s’agit (sans surprise) d’une escroquerie
Les criminels essaient toujours de mettre la main sur votre argent durement gagné, et leur dernière astuce est simple : envoyer une facture légitime via PayPal pour un article de grande valeur que vous n’avez pas acheté. Comment fonctionne cette escroquerie ? Comment les escrocs font-ils pour utiliser une vraie facture PayPal ?
La facturation PayPal permet aux escrocs d’entrer dans votre boîte de réception
Traditionnellement, les escrocs et les spammeurs sont relativement faciles à repérer. S’ils ne sont pas signalés par les filtres anti-spam de votre fournisseur d’accès, certains détails les trahissent, pour peu que vous sachiez quoi chercher.
Les courriels sont souvent usurpés, c’est-à-dire que l’adresse électronique figurant dans le champ « from » n’est pas authentique, et ils proviennent parfois de domaines similaires. Ils sont souvent rédigés dans un langage étrange et vous promettent l’amour, la richesse au-delà de vos rêves les plus fous ou la possibilité d’aider un ancien chef d’État temporairement appauvri. Dans presque tous les cas, ils contiennent des liens qui, s’ils sont cliqués, installent des logiciels malveillants sur votre ordinateur ou essaient de vous inciter à donner vos coordonnées bancaires. Ils sont faux, et il est facile de s’en rendre compte.
Les progrès réalisés dans le domaine des modèles de grands langages et de l’IA générative ont permis d’éliminer certains de ces pièges. Un modèle ChatGPT formé à la langue anglaise ne fait pas beaucoup de fautes de grammaire ou d’orthographe, et l’IA peut être utilisée pour créer des messages d’escroquerie convaincants presque sans effort, avec des images appropriées. Alors que le modèle d’OpenAI d’OpenAI interdit l’utilisation de l’outil pour des gains illégaux, des activités frauduleuses ou trompeuses, ou des activités qui « présentent un risque élevé de préjudice économique », les escrocs ne sont pas particulièrement connus pour leur adhésion aux règles établies, et il est trivial d’exécuter votre propre grand modèle de langage hors ligne, même sur un Raspberry Pi.
Bien que cela améliore la crédibilité des courriels frauduleux si les escrocs choisissent d’utiliser une IA générative, les autres indicateurs sont toujours présents, et si vous êtes prudent et que vous faites attention aux noms de domaine et à l’adresse, vous ne serez probablement pas victime d’un courriel frauduleux.
Les factures de PayPal sont différentes. PayPal est une organisation de confiance, sans laquelle le commerce électronique serait paralysé. Les messages électroniques de PayPal arriveront toujours dans votre boîte aux lettres, quel que soit votre fournisseur d’accès. Il n’y a pas d’usurpation d’identité, ni de liens douteux. C’est légitime et il est donc difficile de savoir s’il s’agit d’une escroquerie.
Et tout le monde peut créer une facture avec PayPal. C’est donc exactement ce que font les cybercriminels.
Comment les escrocs peuvent vous facturer via PayPal
Après avoir passé vos filtres anti-spam et sans indices évidents que la facture est une escroquerie, vous pouvez vous retrouver avec quelque chose comme ceci dans votre boîte de réception.
Vous vérifiez que les liens sont authentiques et, rassuré, vous cliquez sur l’un d’entre eux pour afficher la véritable facture PayPal sur le véritable site PayPal. Vous pourrez alors payer ou annuler la facture.
Cette facture est censée provenir de « Bitcoin Exchange », mais nous avons vu d’autres factures fallacieuses pour des cartes-cadeaux et pour des frais facturés par PayPal lui-même. Pour les escrocs, les options sont infinies et il est tout à fait possible que certaines personnes ou entreprises cliquent sur le bouton « Payer ».
L’une des raisons pour lesquelles les escroqueries à la facture PayPal Bitcoin et les autres escroqueries PayPal liées à la blockchain sont populaires est que la plupart des gens ne comprennent pas vraiment les crypto-monnaies. Dans l’esprit de beaucoup de gens, elles sont associées à la spéculation, aux escroqueries pour s’enrichir rapidement et aux transferts anonymes. Vous pouvez même craindre d’être victime d’une escroquerie par usurpation d’identité. Même si vous ne souhaitez pas investir vous-même dans les crypto-monnaies, vous devez savoir ce que sont les crypto-monnaies et comment elles fonctionnent.
Comment fonctionnent les factures PayPal ?
Si vous utilisez régulièrement PayPal sur votre ordinateur, il se peut que vous l’ayez configuré de telle sorte que vous n’ayez même pas besoin de vous connecter à votre compte PayPal – il vous suffit de cliquer sur le gros bouton bleu et, comme par magie, le montant requis disparaît de votre solde PayPal, pour ne plus jamais réapparaître.
PayPal fournit également un code QR pour les factures. Non seulement vous pouvez recevoir une facture par courrier électronique lorsque vous êtes en déplacement, mais vous pouvez également accéder directement à la facture sur votre smartphone. Il vous suffit de pointer votre appareil photo sur le carré bleu ! Une écriture minuscule sur un écran de 5 pouces augmente encore la probabilité que vous cliquiez sur le bouton. Comme l’indique clairement le slogan de PayPal, c’est simple : « Scannez. Payez. Allez-y. »
À ce niveau, l’escroquerie est simple : amener les gens à cliquer sur un bouton et à recevoir une grosse somme d’argent en retour.
Comment les escrocs utilisent-ils les fausses factures PayPal ?
Même si vous ne payez pas la facture, les escrocs ont d’autres astuces pour vous piéger. L’e-mail contient également un message du vendeur, qui indique que le paiement a déjà été effectué, et comprend le texte suivant : « Appelez-nous pour tout litige concernant le paiement et demandez un remboursement à ».
Ignorant la majuscule aléatoire pour le moment, il est possible que vous soyez suffisamment inquiet pour appeler le numéro, ce qui peut donner lieu à l’une des deux choses suivantes.
Les escrocs peuvent essayer de vous soutirer davantage d’informations, soit par le biais d’un processus de vérification d’identité frauduleux, soit en vous demandant vos coordonnées bancaires, soi-disant pour pouvoir vous rembourser.
Ils peuvent également essayer de vous persuader d’installer un outil d’administration à distance sur votre ordinateur. Vous pouvez probablement deviner à qui vous confiez le contrôle.
Comme l’e-mail et la facture proviennent réellement de PayPal, il n’est pas impossible que certaines personnes se fassent avoir. Ne soyez pas l’une d’entre elles.
Ne tombez pas dans le piège de l’arnaque à la facture PayPal
En l’absence d’indices évidents indiquant que la facture n’est pas authentique, faites vos recherches avant de payer la facture ou d’appeler le numéro.
La première chose que vous devez vous demander est si vous avez acheté ou essayé d’acheter l’article en question. Si la réponse est non – parce que dépenser 499,99 $ en crypto-monnaie via votre compte PayPal n’est pas quelque chose que vous envisageriez de faire – il s’agit d’une escroquerie.
Vous pouvez également faire des recherches sur les coordonnées figurant dans l’e-mail et la facture.
Dans notre exemple de facture, l’adresse électronique du vendeur supposé est « larrypeters33@balawo.com ». Le domaine d’hébergement est actuellement inactif, mais un rapide coup d’œil sur l’Internet Archive permet d’en savoir plus. Wayback Machine a révélé qu’il s’agissait auparavant d’un site WordPress hébergeant des extraits de code chinois aléatoires et d’autres détritus récupérés dans des tutoriels. En bref, cela n’inspire pas confiance quant à l’authenticité du vendeur.
Le numéro de téléphone est un autre indice. En utilisant un outil de recherche gratuit, nous avons pu vérifier qu’il a été attribué le jour même de l’envoi du courriel, et nous nous attendons à ce qu’il soit réattribué peu de temps après.
Une simple recherche d’un numéro sur Google peut révéler qu’il est souvent utilisé par des escrocs.
Comment les escrocs de PayPal ont-ils obtenu mon adresse électronique ?
Vous avez peut-être publié votre adresse électronique sur Facebook, Twitter ou un blog personnel, et elle a été récupérée à partir de là.
Il est beaucoup plus probable que votre adresse électronique ait été divulguée lors d’une violation de données. Les entreprises sont piratées en permanence et les informations relatives aux clients sont exfiltrées de leurs systèmes avec une régularité alarmante. Dans l’affaire Samsung de 2022, par exemple, les criminels ont réussi à voler les noms des clients, leurs coordonnées et informations démographiques, leurs dates de naissance et les informations relatives à l’enregistrement des produits, qui peuvent inclure le sexe, des données de géolocalisation précises, l’identifiant du profil du compte Samsung, le nom d’utilisateur et bien plus encore.
Selon haveibeenpwned la personne qui nous a fourni l’exemple de courriel a vu son adresse électronique compromise dans au moins 10 violations de données différentes.
PayPal permet aux entreprises d’établir des factures en masse par lots pouvant aller jusqu’à 1 000 (pour la même facture) en téléchargeant un fichier CSV. Il serait facile pour les escrocs en puissance d’ajouter un nom (ou un nom d’utilisateur) à toutes les factures, mais ils ne l’ont pas fait, ce qui signifie qu’il est probable qu’ils n’ont pas le nom de la cible. La seule faille connue qui a révélé l’adresse électronique personnelle, mais pas le nom ou le nom d’utilisateur, est le piratage de Patreon en 2015.
Comment se protéger contre les fausses factures PayPal ?
PayPal propose un guide simple et sensé sur les escroqueries par courrier électronique ; toutefois, l’escroquerie à la facturation n’y figure pas encore.
Voici nos conseils :
- Ne cliquez pas sur des factures à partir de liens contenus dans un courrier électronique, même s’il s’agit de liens authentiques. Vous pouvez vérifier les factures PayPal simplement en vous connectant au service dans un autre onglet ou navigateur.
- Ne payez pas une facture si vous n’êtes pas sûr à 100 % de son objet.
- N’appelez pas le « vendeur », ne lui envoyez pas de courrier électronique et ne le contactez pas d’une autre manière.
- Gardez votre adresse électronique principale privée.
- Utilisez un alias de courrier électronique ou un service de protection du courrier électronique pour donner des adresses électroniques différentes à des entreprises différentes.
- Consultez régulièrement haveibeenpwned pour voir si vos données personnelles ont été divulguées. Si une adresse électronique est compromise, désactivez-la.
Les factures frauduleuses de PayPal pour des bitcoins sont dangereuses
Ouvrir un e-mail pour trouver une facture PayPal authentique pour quelque chose que vous n’avez pas acheté est au mieux ennuyeux, et au pire, peut vous faire perdre de l’argent. Faites attention à vos médias sociaux, à vos comptes de messagerie et à votre sécurité sur Internet, afin de priver les criminels des détails dont ils ont besoin pour vous cibler efficacement.
S’abonner à notre lettre d’information
Pourquoi est-ce que je reçois une facture PayPal pour des bitcoins ?
Comment fonctionne l’escroquerie ? Les escrocs créent un faux compte PayPal Business (ou piratent un compte légitime) et utilisent un nom tel que « Bitcoin Exchange ». Ensuite, ils envoient une fausse facture qui comprend une note du vendeur qui vous fait croire qu’il s’agit d’un reçu pour un achat de bitcoins (et non d’une demande d’argent).
Comment savoir si une facture PayPal est authentique ?
Vérifiez l’historique de vos achats pour vous assurer que vous n’avez pas été facturé frauduleusement. Si vous avez été facturé, vous pouvez contacter le Centre de résolution de PayPal pour signaler la fraude. Si vous n’avez pas été facturé, il s’agit simplement d’une facture. Vous devez transmettre l’e-mail de la facture frauduleuse à PayPal.
Existe-t-il une arnaque aux bitcoins par e-mail de PayPal ?
Si vous avez reçu un courriel qui semble provenir de MetaMask ou de PayPal, arrêtez. Il s’agit d’une escroquerie par hameçonnage. Le faux MetaMask dit que votre portefeuille de crypto-monnaie est bloqué.
Pourquoi ai-je reçu une facture aléatoire sur PayPal ?
Il s’agit d’une escroquerie par hameçonnage qui appâte les clients avec une vraie facture envoyée directement par PayPal. En effet, PayPal permet cette ruse sur son propre site. Le phishing consiste à envoyer un message qui prétend provenir d’une société réputée comme PayPal.