PayPal considère son propre message comme une attaque par hameçonnage!

Dans une tentative – manquée – visant à
sensibiliser les utilisateurs du site au danger que représentent les
attaques par hameçonnage, les mécanismes de sécurité du site PayPal ont
reconnu ce message d’avertissement comme étant un pourriel. «Oui, c’est
vrai (…) PayPal m’a dit que leur propre courriel avait été interprété
comme étant une tentative d’hameçonnage», affirme dans un blogue Randy Abrams, directeur de la division d’Éducation technique chez ESET.

PayPal avait envoyé un courriel à ses utilisateurs en incluant un
hyperlien. M. Abrams juge qu’il s’agit d’une mauvaise idée puisque bien
qu’il soit légitime, «le courriel ressemble à une tentative
d’hameçonnage». Avec les techniques de plus en plus raffinées des
pirates malintentionnés, les utilisateurs ou les logiciels de sécurité
pourraient ne plus discerner les pourriels menant à de fausses pages de
PayPal des courriels légitimes, s’ils utilisent les mêmes techniques.

ESET a donc retransmis le courriel problématique à PayPal pour l’en
avertir et lui servir une petite leçon de sécurité informatique. «Voilà
la raison pour laquelle une entreprise ne devrait JAMAIS intégrer de
liens pointant vers des pages Web. Le service de PayPal ne peut même
pas distinguer un courriel légitime d’une attaque par hameçonnage», a
répondu M. Abrams à PayPal, après que cette dernière l’eut remercié
d’avoir été informé de cette mauvaise stratégie de sensibilisation.

M. Abrams suggère plutôt aux entreprises d’envoyer un courriel aux
internautes les incitant à parvenir eux-mêmes au site légitime pour
confirmer leurs transactions ou leurs données personnelles, par
exemple. Cette stratégie permet à l’internaute de s’assurer qu’il est
parvenu au site légitime et non pas à une page contrefaite, après avoir
cliqué sur un hyperlien douteux.