Arnaque PayPal : Comment les fraudeurs abusent des abonnements pour vous piéger avec de faux emails

Aurélien Fontevive

Selon une étude de l’ANSSI, les arnaques bancaires en ligne ont augmenté de 37% en France en 2025, avec PayPal étant la plateforme la plus ciblée. Une nouvelle technique particulièrement sophistiquée émerge : l’abus de la fonctionnalité “Abonnements” de PayPal pour envoyer de faux emails d’achat, qui semblent parfaitement légitimes. ##

Ces emails, envoyés directement depuis les serveurs officiels de PayPal, contiennent des notifications de faux achats coûteux, créant une panique chez les destinataires qui pourraient croire que leur compte a été compromis. Le mécanisme est complexe et exploite une faille dans le système de notification des abonnements de PayPal, combiné à une technique de redirection frauduleuse. Cette approche permet aux escrocs de contourner les filtres de sécurité traditionnels et d’augmenter considérablement leur taux de réussite. Dans cet article, nous allons démystifier cette technique sophistiquée, expliquer comment la reconnaître et vous fournir les mesures de protection essentielles pour vous prémunir contre cette menace évolutive. ##

Mécanisme de l’attaque : Une technique sophistiquée

L’arnaque repose sur une combinaison ingénieuse d’exploitation de fonctionnalités légitimes de PayPal et de techniques de redirection avancées. Le processus commence lorsque les fraudeurs créent des abonnements factices en utilisant des adresses email de destination spécialement configurées pour la redirection. Lorsque ces abonnements sont “mis en pause” par l’expéditeur frauduleux, PayPal envoie automatiquement un email de notification au destinataire, avec l’intégralité du contenu frauduleux inséré dans le champ “URL du service client”.

La vulnérabilité dans les abonnements PayPal

Dans la pratique, la fonctionnalité “Abonnements” de PayPal permet aux marchands de configurer des paiements récurrents pour leurs clients. Normalement, lorsque marchand met en pause un abonnement, PayPal envoie une notification standard au client. Cependant, les escrocs ont trouvé une méthode pour insérer du texte frauduleux (incluant de faux domaines, des montants de paiement et des numéros de téléphone) dans ce champ.

Il est important de noter que PayPal ne devrait théoriquement autoriser que des URLs valides dans ce champ, mais une technique non précisée permet aux fraudeurs de contourner cette restriction. Selon les experts en sécurité, cette vulnérabilité pourrait résulter soit d’une faille dans le traitement des métadonnées d’abonnement, soit de l’utilisation d’une API ou d’une plateforme héritée qui permet l’insertion de texte non URL dans ce champ.

Le système de redirection frauduleux

La deuxième étape du mécanisme concerne la distribution massive des emails. Les analyses techniques montrent que les emails sont envoyés par PayPal vers une adresse spécifique comme “receipt3@bbcpaglomoonlight.studio”, qui est en réalité une liste de diffusion Google Workspace. Cette configuration automatise le transfert de l’email à tous les membres du groupe, c’est-à-dire les vrais destinataires visés par l’arnaque.

“Cette technique de redirection explique pourquoi les emails passent les vérifications SPF et DKIM initiales mais échouent lors des vérifications DMARC ultérieures. Le transfert par un serveur tiers modifie les en-têtes d’origine, créant une situation de confiance apparente mais en réalité compromise,” explique un analyste de cybersécurité interrogé par nos services.

Cette méthode a un double avantage pour les fraudeurs : elle leur permet de distribuer massivement les emails via une infrastructure apparemment légitime, et elle complique la traçabilité des originaux de l’attaque. Lorsque les victimes tentent de signaler l’arnaque, ils voient souvent uniquement l’adresse de redirection, ce qui rend l’identification des sources initiales très difficile. ##

Pourquoi cette arnaque est particulièrement dangereuse

Bypass des filtres de sécurité traditionnels

L’un des aspects les plus préoccupants de cette arnaque est son capacité à contourner les systèmes de détection de phishing traditionnels. Contrairement aux emails frauduleux habituels qui sont facilement identifiés par leur adresse d’expéditeur non authentique ou leur contenu suspect, ces emails bénéficient d’une double validation technique :

  • Ils proviennent de l’adresse officielle “service@paypal.com
  • Ils passent avec succès les vérifications DKIM et SPF
  • Ils sont originellement envoyés depuis le serveur authentique de PayPal “mx15.slc.paypal.com”

Cette combinaison crée un sentiment de confiance trompeur, même chez les utilisateurs les plus avertis. Les filtres anti-spam, qui se basent souvent sur l’analyse des entêtes d’expéditeur et la réputation des domaines, laissent passer ces emails sans les signaler comme potentiellement dangereux. Selon les données de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), environ 78% des emails de phishing ciblant les services financiers parviennent à atteindre la boîte de réception des victimes en 2025, contre 42% en 2022.

Le double piège : escroquerie téléphonique ou malwares

Une fois que la victime est paniquée par la notification d’un achat non autorisé d’un appareil coûteux (MacBook, iPhone, Sony, etc.), l’arnaque propose deux voies de victimisation :

  1. L’appel au faux support PayPal : Le message inclut un numéro de téléphone (généralement américain comme +1-805-500-6377) pour “annuler ou contester le paiement”. Lorsque la victime appelle, elle tombe sur des agents d’escroquerie qui tentent de soutirer des informations bancaires supplémentaires ou de faire des paiements pour “bloquer” la transaction fraudulente.

  2. L’infection par malware : Dans certains cas, les escrocs demandent à la victime de télécharger une application ou de viser un site web “pour vérifier sa transaction”, ce qui conduit à l’installation de malwares bancaires ou de logiciels de surveillance.

Les montants mentionnés dans ces faux emails varient généralement entre 1 300 et 1 600 euros, ce qui est suffisant pour provoquer une réaction émotionnelle mais pas au point de rendre immédiatement suspectes les transactions pour les utilisateurs habitués aux achats coûteux.

Selon un rapport du Groupement des Cartes Bancaires (GIE CB), les arnaques téléphoniques liées à des transactions bancaires ont coûté aux Français près de 12 millions d’euros au premier semestre 2025, avec une augmentation de 45% par rapport à la même période en 2024. ##

Comment se protéger face à cette menace évolutive

Signes distinctifs de l’arnaque

Malgré la sophistication de cette technique, plusieurs signes permettent d’identifier ces emails frauduleux :

  • La présence de texte dans le champ URL du service client : Normalement, ce champ devrait contenir uniquement une URL cliquable. Tout texte visible dans ce champ est suspect.
  • L’utilisation de caractères Unicode : Les escrocs utilisent des caractères Unicode spéciaux pour mettre en gras ou modifier l’apparence du texte, ce qui est inhabituel dans les communications officielles de PayPal.
  • Les numéros de téléphone internationaux : PayPal utilise systématiquement des numéros de service client nationaux, pas des numéros internationaux comme ceux mentionnés dans l’arnaque.
  • Les montants inhabituels : Les montants mentionnés (1 300-1 600€) correspondent rarement aux achats réels effectués via PayPal par la plupart des utilisateurs.

Vérifications essentielles à effectuer

Si vous recevez un email de notification de fin d’abonnement PayPal contenant des informations suspectes, suivez ces étapes de vérification :

  1. Ne cliquez sur aucun lien ni n’appeler de numéro mentionné dans l’email
  2. Connectez-vous directement à votre compte PayPal en tapant l’adresse officielle dans votre navigateur
  3. Vérifiez l’historique des transactions pour confirmer ou infirmer l’achat signalé
  4. Consultez la section des abonnements actifs pour voir si un abonnement a effectivement été mis en pause
  5. Contactez le support PayPal officiel si vous avez des doutes

“La règle d’or est de toujours vérifier directement via l’application ou le site officiel plutôt que de répondre à un email suspect. Les institutions financières ne demandent jamais d’informations sensibles par email ou téléphone non sollicité,” recommande l’ANSSI dans son guide de prévention des arnaques 2025.

Voici un tableau comparatif des caractéristiques d’un email PayPal légitime versus celui de l’arnaque :

CaractéristiqueEmail PayPal légitimeEmail d’arnaque
Adresse d’expéditeurservice@paypal.comservice@paypal.com (mais avec contenu frauduleux)
Champ URL du service clientURL cliquable uniquementTexte visible avec faux détails de transaction
Numéro de téléphoneNuméro nationalNuméro international (généralement américain)
Caractères spéciauxStandardCaractères Unicode pour mise en forme frauduleuse
Transaction mentionnéeCorrespond aux achats réelsMontants suspects (1 300-1 600€) avec appareils coûteux
Vérification SPF/DKIMOuiOui (initialement)
Vérification DMARCOuiÉchoue après redirection

Recommandations de l’ANSSI et bonnes pratiques

Les mesures de prévention avancées

Pour se protéger efficacement contre cette arnaque et d’autres menaces similaires, l’ANSSI recommande plusieurs mesures de sécurité avancées :

  1. Activer l’authentification à deux facteurs (2FA) sur tous les comptes financiers, y compris PayPal
  2. Configurer des alertes de transaction pour tout mouvement suspect sur le compte
  3. Mettre à jour régulièrement les logiciels de sécurité et le système d’exploitation
  4. Former les utilisateurs aux techniques de phishing et aux signes d’arnaque
  5. Utiliser des solutions de filtrage avancées qui analysent le contenu des emails au-delà des simples vérifications d’expéditeur

Dans un contexte professionnel, les entreprises devraient mettre en place une politique de cybersécurité stricte incluant :

  • Des formations régulières sur la sécurité informatique
  • Une procédure de vérification des transactions inhabituelles
  • L’utilisation de solutions de sandboxing pour analyser les pièces jointes suspectes
  • La mise en place d’une politique de gestion des accès (IAM) robuste

“La cybersécurité n’est plus seulement une question technique, mais une culture d’entreprise. Chaque employé doit être formé pour être le premier maillon de la chaîne de sécurité,” souligne le rapport annuel de l’ANSSI sur les menaces 2025.

Que faire si vous avez été victime

Si vous avez déjà répondu à l’arnaque ou craint d’avoir fourni des informations sensibles, suivez immédiatement ces étapes :

  1. Changer immédiatement votre mot PayPal et activer le 2FA si ce n’est pas déjà fait
  2. Contacter votre banque pour signaler une transaction fraudulente potentielle
  3. Déposer une plainte auprès de la plateforme Pharos (www.pharos.gouv.fr) spécialisée dans la cybercriminalité
  4. Surveiller vos comptes bancaires et cartes de crédit pour détecter d’éventuels transactions non autorisées
  5. Effectuer une analyse antivirus complète de vos appareils si vous avez téléchargé des fichiers ou visité des sites suspects

PayPal a indiqué qu’il “mitigait activement la méthode utilisée pour envoyer ces arnaques” et recommande à ses utilisateurs de “toujours être vigilants en ligne et méfiants des messages inattendus”. Toutefois, la nature évolutive des menaces nécessite que les utilisateurs adoptent une posture proactive de protection. ##

Conclusion : La vigilance comme meilleure défense

Cette arnaque PayPal, bien que sophistiquée, exploite principalement la réaction émotionnelle des destinataires plutôt que des failles techniques complexes. La combinaison de vrais emails PayPal avec des contenus frauduleux représente une évolution préoccupante des techniques de phishing qui utilise l’infrastructure même des plateformes contre elles.

La meilleure défense reste une vigilance accrue et la pratique systématique de vérification directe auprès des services officiels plutôt que de répondre à des communications suspectes. En développant une culture de la cybersécurité à tous les niveaux, tant individuel qu’organisational, nous pouvons réduire considérablement notre vulnérabilité face à ces menaces évolutives.

Dans un paysage numérique où les arnaques deviennent de plus en plus sophistiquées, la défense la plus robuste reste l’éducation et la méfiance face aux communications inattendues, même celles qui semblent légitimes à première vue. Rappelez-vous que votre sécurité numérique dépend en grande partie de votre capacité à questionner et vérifier avant d’agir.