Comment fonctionne cette campagne ?

La stratégie de cette campagne est simple.

En usurpant de célèbres services de paiement en ligne tels que Paypal, Stripe, Wepay ou encore Lemonway, les hackers contactent les victimes en prétextant une dernière relance avant action judiciaire.
Comme dans la plupart des campagnes de phishing, c’est le biais psychologique de la peur qui est utilisé, comme c’est le cas ici.

Les victimes reçoivent ainsi des emails avec les objets aux noms évocateurs tels que :

• DERNIER AVIS AVANT ACTION JUDICIAIRE
• Votre Impayé chez PayPal
• Facture abonnement

Pour les versions anglophones, les objets sont simplement traduits :

• LAST REMINDER BEFORE JUDICIAL ACTION
• LAST CAUTION BEFORE JUDICIAL ACTION

Quel est le mode opératoire de cette attaque ?

1- Casser la vigilance de la victime
La particularité de cette attaque réside dans le fait de demander un montant faible à régler par la victime pour éviter toute poursuite. Ce faible montant a ici pour but de briser la vigilance de la victime. Dans la tête de la victime, 45€ n’est qu’un maigre butin en comparaison des frais engendrés par une action judiciaire.

2- Obliger la victime à payer en ligne
Autre point notable, dans le but de déjouer la vigilance de la victime, plusieurs modes de paiement sont proposés. Sans le savoir, la victime est ici accompagnée vers la page de paiement.

Sébastien Gest, Tech Évangéliste de Vade Secure analyse : « Si nous nous penchons un peu plus en détail, nous voyons que l’adresse postale est aux États-Unis et le numéro de téléphone est surtaxé. Le plus simple, le plus rapide et le moins cher restent donc de payer en ligne. Le lien affiché n’est bien sûr pas le lien réel.  L’utilisateur va être redirigé vers une série de services de raccourcisseur d’url pour atterrir sur une page de connexion Paypal. Nous avons cependant une récurrence dans les domaines de fin de redirection. À savoir des domaines en .info, .cx ou encore .ae ».

3- Payer avec son compte Paypal
Dernier point et non des moins surprenants, quel que soit le service en litige (Stripe, Wepay, Lemonway), l’outil de paiement permettant de régulariser la situation est toujours Paypal.

Sur la période 2018 / 2019, les campagnes de phishing ciblant la marque Paypal n’ont jamais faibli.

Nous pouvons voir qu’en moyenne, plus de 1500 pages de phishing usurpant la marque Paypal étaient actives.

Sébastien Gest conclut  en rappelant quelques conseils à adopter face à ce type de menace :

• Un service de paiement en ligne ne demandera jamais de payer par Paypal
• Un service en ligne ne demandera jamais de payer par un moyen autre que par son propre système de facturation.