Fraude PayPal Abonnements : comment les escrocs utilisent la fonctionnalité pour vous piéger

Séraphine Clairlune

Selon une enquête récente publiée fin 2025, plus de 37 000 utilisateurs PayPal ont été ciblés par une campagne de phishing sophistiquée exploitant la fonctionnalité d’abonnements de la plateforme. Ces attaques, particulièrement insidieuses, parviennent à contourner les filtres de sécurité traditionnels et à tromper même les utilisateurs les plus avertis. ## La nouvelle menace qui profite de la crédibilité PayPal

Les fraudeurs ont développé une méthode astucieuse pour exploiter la fonctionnalité “Abonnements” de PayPal, leur permettant d’envoyer des e-mails légitimes contenant des notifications d’achat frauduleuses. Ces messages, authentifiés par DKIM et SPF, semblent provenir directement des serveurs officiels de PayPal, créant un sentiment de panique chez les destinataires.

La campagne, observée depuis plusieurs mois, cible principalement les détenteurs de comptes PayPal en France et en Europe. Les victimes reçoivent des notifications d’annulation d’abonnement automatique, suivies d’une fausse confirmation d’achat pour des produits technologiques coûteux tels que des iPhones, des MacBooks ou des appareils Sony.

“Nous avons constaté une augmentation de 245% des plaintes relatives à cette escroquerie au cours des deux derniers mois, avec des montants frauduleux variant entre 1 300 et 1 600 euros”, explique un expert en cybersécurité spécialisé dans les fraudes financières.

Comment fonctionne exactement cette fraude PayPal

L’ingénierie derrière le message frauduleux

En analysant les en-têtes d’e-mail, les chercheurs en sécurité ont confirmé que ces messages provenaient bien des serveurs officiels de PayPal (mx15.slc.paypal.com) et passaient toutes les vérifications d’authenticité. La véritable subtilité réside dans la manière dont les fraudeurs manipulent le champ “URL du service client”.

Lorsqu’un marchand utilise la fonctionnalité d’abonnements de PayPal et met en pause un abonnement, PayPal envoie automatiquement un e-mail au souscripteur. Cependant, les tests ont révélé que la plateforme normalement rejette tout texte autre qu’une URL dans ce champ. Les criminels exploitent apparemment une faille dans la gestion des métadonnées d’abonnement ou utilisent une API obsolète qui permet d’insérer du texte frauduleux.

Le mécanisme de diffusion massive

L’analyse technique de la campagne révèle un ingénieux système de diffusion. Les fraudeurs créent un abonnement factice avec une adresse e-mail spéciale (comme receipt3@bbcpaglomoonlight.studio) qui est en réalité une liste de distribution Google Workspace.

Lorsque PayPal envoie la notification d’annulation d’abonnement à cette adresse, celle-ci est automatiquement redirigée vers tous les membres du groupe - c’est-à-dire les vraies cibles de l’attaque. Cette technique explique pourquoi les e-mails semblent légitimes mais parviennent à des personnes n’ayant jamais souscrit à aucun abonnement.

Caractéristiques du message frauduleux :

  • Expéditeur : service@paypal.com (authentique)
  • Objet : “Votre paiement automatique n’est plus actif”
  • Contenu : notification d’annulation d’abonnement légitime
  • Manipulation : fausse confirmation d’achat dans le champ URL du service client
  • Urgence : demande d’appeler un numéro de support pour contester le paiement

Les conséquences potentielles des victimes

Risques directs pour les utilisateurs

Cette escroquerie PayPal ne se contente pas d’essayer de voler des informations bancaires. Plusieurs risques majeux découlent de ces interactions :

  1. Hameçonnage vocal (vishing) : En appelant le numéro fourni (+1-805-500-6377 dans l’exemple), les victimes sont dirigées vers de faux agents “support PayPal” qui tentent d’obtenir des informations sensibles ou de les convaincre d’effectuer des transferts bancaires.

  2. Installation de logiciels malveillants : Dans certains cas, les fraudeurs demandent aux victimes d’installer des applications “de sécurité” ou des “logiciels de remboursement” qui en réalité installent des malwares sur leurs appareils.

  3. Usurpation d’identité : Les informations obtenues peuvent être utilisées pour ouvrir de comptes frauduleux ou effectuer d’autres opérations illégales au nom de la victime.

L’impact sur la confiance envers PayPal

Cette campagne crée un dilemme pour les utilisateurs : comment distinguer un e-mail PayPal légitime d’un message frauduleux lorsqu’ils proviennent des mêmes serveurs ? Cette confusion potentielle mine la confiance dans toute la plateforme de paiement.

Selon une étude menée par l’ANSSI en 2025, 68% des utilisateurs français ont déclaré être devenus plus méfiants envers les communications officielles de plateformes financières après avoir été exposés à des campagnes de phishing sophistiquées.

Comment se protéger contre cette fraude spécifique

Les signes distinctifs du phishing PayPal actuel

Malgré leur authenticité apparente, ces e-mails contiennent plusieurs indices révélateurs que les utilisateurs peuvent identifier :

  • Le formatage anormal : Les fraudes utilisent de nombreux caractères Unicode pour créer un texte en gras ou avec une police inhabituelle, une technique utilisée pour contourner les filtres anti-spam.
  • Le contenu contradictoire : L’e-mail annonce à la fois l’annulation d’un abonnement et une confirmation d’achat, deux informations incompatibles.
  • Le numéro de téléphone : Les numéros fournis (tels que +1-805-500-6377) ne correspondent jamais aux numéros officiels de PayPal France.

Vérification des transactions et sécurité des comptes

Lorsque vous recevez un e-mail suspecté de fraude PayPal, la première étape consiste à vérifier directement votre compte :

  1. Connectez-vous à votre compte PayPal via l’application officielle ou le site web (en tapant l’adresse manuellement, sans cliquer sur les liens)
  2. Vérifiez l’historique des transactions pour confirmer ou infirmer l’existence d’un auteur récent
  3. Consultez la section “Abonnements” pour voir si des abonnements ont été activés ou modifiés

“PayPal ne tolère aucune activité frauduleuse et nous travaillons dur pour protéger nos clients des escroqueries d’hameçonnage en constante évolution”, a déclaré un porte-parole de l’entreprise en réponse à cette campagne.

Mesures de protection renforcée pour les comptes PayPal

Configurations de sécurité recommandées

Pour se prémunir contre ce type d’attaque, les utilisateurs peuvent mettre en place plusieurs couches de sécurité :

  1. Authentification à deux facteurs (2FA) : Activez systématiquement la double authentification pour votre compte PayPal
  2. Notifications d’activité : Configurez des alertes instantanées pour chaque transaction
  3. Vérification des adresses e-mail : Assurez-vous que toutes les adresses associées à votre compte sont bien les vôtres
  4. Limitations de dépenses : Mettez en place des limites quotidiennes ou mensuelles pour les transactions

Bonnes pratiques face aux communications suspectes

Face à un e-mail PayPal inhabituel, adoptez les réflexes suivants :

  • Ne cliquez jamais sur les liens contenus dans les e-mails, même s’ils semblent légitimes
  • Ne composez jamais les numéros de téléphone fournis dans les messages
  • Contactez directement le support PayPal via les canaux officiels pour vérifier les informations
  • Signalez les tentatives de fraude à PayPal et aux autorités compétentes

La réponse de PayPal et l’avenir de la sécurité

Actions entreprises par la plateforme

Face à cette campagne, PayPal a confirmé être “activement en train d’atténuer la méthode utilisée pour envoyer ces e-mails frauduleux”. L’entreprise a mis en place plusieurs mesures d’urgence :

  1. Renforcement des filtres sur les champs de métadonnées d’abonnement
  2. Surveillance accrue des modèles d’envoi suspects
  3. Mise à jour des systèmes de détection des abus
  4. Communication renforcée avec les utilisateurs sur les bonnes pratiques

Perspectives de sécurité pour 2026

Les experts prévoient que les escrocs continueront d’innover pour exploiter les fonctionnalités légitimes des plateformes financières. Pour contrer ces menaces, plusieurs tendances émergent :

  • L’authentification contextuelle : Les plateformes pourraient analyser le comportement utilisateur pour détecter les anomalies
  • La blockchain pour la vérification : Utilisation de technologies de chaîne de blocs pour authentifier les communications
  • L’intelligence artificielle prédictive : Systèmes capables d’anticiper les nouvelles techniques de phishing
  • La collaboration entre institutions : Partage d’informations en temps réel sur les campagnes frauduleuses

Tableau comparatif : Fraude PayPal vs communications légitimes

CaractéristiqueE-mails frauduleuxCommunications PayPal authentiques
Adresse expéditeurservice@paypal.com (authentique)service@paypal.com (authentique)
Vérification DKIM/SPFPassent les vérificationsPassent les vérifications
Serveur d’envoimx15.slc.paypal.commx15.slc.paypal.com
ContenuAnnonce d’annulation d’abonnement + fausse confirmation d’achatUn seul type d’information par e-mail
FormatageCaractères Unicode inhabituelsFormatage standard et cohérent
Demande d’actionNuméro de téléphone pour contesterLiens directs vers l’interface PayPal ou site marchand
UrgenceCréation d’un sentiment d’urgenceInformations factuelles sans pression

Conclusion : rester vigilant face à l’évolution des menaces

Cette campagne de fraude PayPal illustre une tendance inquiétante : l’exploitation des fonctionnalités légitimes des plateformes par les cybercriminels. Alors que les méthodes traditionnelles de phishing deviennent de plus en plus détectables, les fraudeurs adaptent leurs tactiques pour usurper la confiance des utilisateurs.

Face à cette menace, la vigilance reste la meilleure défense. En comprenant comment ces campagnes fonctionnent, en reconnaissant leurs signes distinctifs et en adoptant les bonnes pratiques de sécurité, les utilisateurs peuvent se protéger efficacement.

N’oubliez jamais : PayPal ne demandera jamais vos coordonnées bancaires ou vos mots de passe par e-mail, et n’utilisera jamais de numéros de téléphone non officiels pour vous contacter. En cas de doute, connectez-vous directement à votre compte via l’application ou le site web officiel pour vérifier les informations.

La cybersécurité est une responsabilité partagée. En restant informé et prudent, chacun contribue à rendre le numérique plus sûr pour tous.