La tendance chez les cybercriminels est au perfectionnement de leurs tentatives d'arnaques avec notamment pour moyen de diffusion des e-mails de phishing. La rédaction de ces messages est sensiblement plus élaborée que par le passé, et il devient plus délicat - mais c'est encore loin d'être insurmontable - de discerner le bon grain de l'ivraie.

PayPal qui multiplie les efforts en direction des utilisateurs afin qu'ils ne deviennent pas des proies trop faciles pour le phising, a été berné par l'un de ses propres messages d'avertissement. Une petite leçon de pédagogie vis-à-vis du phishing donnée par Randy Abrams, le responsable de la division Education d'ESET, l'éditeur de la célèbre solution de sécurité NOD32.

Randy Abrams a estimé qu'avec ses avertissements, PayPal commet une erreur en publiant distinctement l'adresse des sites piégés avec le lien hypertexte relatif. Une " mauvaise idée " selon l'employé d'ESET et pour effet de rendre l'e-mail d'avertissement tout aussi dangereux que ce qu'il dénonce. Il a ainsi prévenu PayPal en envoyant un spécimen de message d'avertissement reçu.

Très cordialement, PayPal a remercié Randy Abrams de son retour et lui a donné entièrement raison, bien au-delà de ses espérances. PayPal a en effet identifié son propre e-mail d'avertissement comme un e-mail de phishing !

Pour Randy Abrams, c'est bien la preuve qu'une " société légitime ne devrait jamais inclure des liens pour se connecter à des pages ". " Même le service de support de PayPal ne peut pas faire la différence entre un e-mail PayPal légitime et une attaque de phishing ".

Sur son site, PayPal réserve un espace à la sécurité informatique et donne quelques conseils pour déceler le vrai du faux.