FAUX EMAIL PAYPAL · XOOM FRANCE — ARNAQUE ?

Étape 1 — Envoi massif d'emails. Les fraudeurs envoient un email reprenant l'identité visuelle de PayPal depuis l'adresse signalée hello@unitas-global.com. Le message annonce un paiement sortant de 229,90 € ou 329,90 € vers le bénéficiaire "Xoom France", avec un faux identifiant de transaction (PP14574578BBVF, PP1457D55YH9789).

Étape 2 — Le choix du leurre "Xoom France". Xoom est une filiale officielle de PayPal spécialisée dans les transferts d'argent internationaux. Si vous vérifiez ce nom, vous trouvez bien un service PayPal légitime. Cette précaution rend l'arnaque crédible : "ça existe vraiment, ce n'est pas n'importe quoi". La panique s'installe.

Étape 3 — Le lien de contestation. L'email contient un bouton "Contester ce paiement" ou "Signaler un problème". Le lien passe d'abord par un système de redirection Amazon AWS (jkdpb2x5.r.eu-west-2.awstrack.me) qui masque la destination finale. Vous êtes ensuite redirigé vers contestation-notif-fr.help/app.

Étape 4 — La fausse page de connexion PayPal. Le site imite l'interface PayPal (logo, couleurs, mise en page). Il vous demande votre email et votre mot de passe pour "vous connecter et contester". Certaines versions ajoutent un captcha pour donner une impression de sécurité.

Étape 5 — Le vol des identifiants. Dès que vous validez, une animation de chargement sans fin apparaît. D'après les témoignages publics, les escrocs disposent alors de votre email et de votre mot de passe. Ils peuvent se connecter à votre vrai compte PayPal en parallèle, désactiver vos notifications email, et :

• Vider votre solde PayPal par virement vers un compte qu'ils contrôlent.
• Utiliser vos moyens de paiement enregistrés (carte bancaire, compte bancaire lié) pour des achats frauduleux.
• Modifier votre mot de passe et votre email de récupération pour vous bloquer hors de votre propre compte.

• Expéditeur incohérent. Un vrai email PayPal arrive depuis @paypal.com, @paypal.fr ou @e.paypal.com, jamais depuis @unitas-global.com.
• Lien suspect. Le lien de contestation passe par un système de tracking Amazon AWS (awstrack.me) avant de rediriger vers contestation-notif-fr.help.
• Extension de domaine inhabituelle. .help est rarement utilisée par des services légitimes français. Les domaines récents en .help sont fréquemment signalés en lien avec du phishing.
• Montants suspicieusement précis. 229,90 € ou 329,90 € sont des montants choisis pour leur crédibilité.
• Bénéficiaire à consonance internationale. "Xoom France" est utilisé pour suggérer un transfert international que vous n'auriez pas autorisé.
• Urgence implicite. Le message vous pousse à agir vite "pour contester avant que le paiement soit définitif".
• Pas de mention de votre nom complet. Un vrai email PayPal vous appelle par votre nom et prénom enregistrés.

Cinq erreurs à éviter absolument :

• Ne cliquez jamais sur un lien dans un email PayPal non sollicité. Ouvrez toujours PayPal en tapant l'URL vous-même dans le navigateur.
• Ne saisissez jamais vos identifiants sur un site atteint via un lien d'email. Les vraies pages de connexion PayPal s'atteignent uniquement via paypal.com tapé manuellement.
• Ne rappelez pas le numéro 06 59 48 45 41 indiqué dans certaines versions. Ce numéro est signalé comme utilisé frauduleusement. PayPal n'utilise pas de numéros de portable français pour son service client.
• Ne répondez pas à l'email. Répondre confirme aux escrocs que votre adresse est active et lue.
• Ne désactivez jamais l'authentification à deux facteurs PayPal sous pression. C'est exactement ce que les escrocs cherchent à obtenir après avoir récupéré votre mot de passe.

Agissez sous 15 minutes. L'escroc se connecte à votre compte en parallèle.

Étape 1 — Changez votre mot de passe PayPal immédiatement.

• Ouvrez votre navigateur. Tapez paypal.com manuellement (ne passez par aucun lien).
• Connectez-vous. Allez dans Paramètres → Sécurité → Mot de passe.
• Choisissez un mot de passe entièrement nouveau, jamais utilisé ailleurs.

Étape 2 — Activez l'authentification à deux facteurs.

• Paramètres → Sécurité → Vérification en deux étapes.
• Privilégiez une application d'authentification (Google Authenticator, Authy) plutôt que le SMS.

Étape 3 — Vérifiez et déconnectez les appareils inconnus.

• Paramètres → Sécurité → Appareils connectés.
• Déconnectez tout appareil que vous ne reconnaissez pas.

Étape 4 — Examinez vos transactions des 7 derniers jours.

• Toute transaction non reconnue doit être contestée immédiatement via "Litige" dans PayPal.
• Vérifiez aussi les transactions de vos comptes bancaires liés.

Étape 5 — Faites opposition sur les cartes liées à PayPal.

• Appelez le numéro d'opposition au dos de votre carte ou le 0892 705 705.
• Demandez le remplacement préventif de la carte.

Étape 6 — Signalez à PayPal et aux autorités.

• Transférez l'email original à spoof@paypal.com sans modifier l'objet.
• Signalez sur Pharos (internet-signalement.gouv.fr).
• Signalez l'URL frauduleuse sur Phishing Initiative et Google Safe Browsing.
• En cas de perte financière avérée, déposez plainte au commissariat.

Quatre vérifications indépendantes :

• Application PayPal officielle. Onglet "Activité". Aucun paiement vers Xoom France n'apparaîtra si l'email est frauduleux.
• Site web PayPal. Tapez vous-même paypal.com. Connectez-vous. "Activité" → "Tout l'historique".
• Centre de notifications PayPal. Cliquez sur la cloche en haut à droite de votre interface PayPal.
• Centre de résolution PayPal. Tout litige légitime y apparaît avec un numéro de référence officiel.

Si les quatre vérifications confirment l'absence de transaction : supprimez l'email, signalez-le à PayPal, et passez à autre chose.

L'IP 158.94.208.174 (AS Omegatech, Hamburg, Allemagne) héberge 139 sites web au total. Plusieurs sont signalés comme trompeurs par diverses plateformes anti-phishing :

• mon-dossier-sante.com — site signalé comme trompeur, usurpant un service de dossier médical numérique français.
• mondial-relaycolis.co — site signalé comme usurpant l'identité de Mondial Relay.
• service-sante-solutions.com — site signalé comme trompeur dans le domaine des services de santé.

Cette concentration géographique et technique illustre un schéma organisé de phishing ciblant plusieurs secteurs (paiement, santé, livraison) depuis la même infrastructure allemande. L'AS Omegatech héberge un nombre élevé de domaines signalés comme suspects par diverses plateformes anti-phishing depuis le début de l'année 2026.

Cinq canaux à utiliser en parallèle :

• spoof@paypal.com — adresse dédiée de PayPal pour le phishing.
• Phishing Initiative (phishing-initiative.eu/contrib/) — soumission URL, analyse CERT Orange Cyberdefense.
• Google Safe Browsing (safebrowsing.google.com/safebrowsing/report_phish).
• Pharos (internet-signalement.gouv.fr).
• Signal Spam (signal-spam.fr).

En cas de préjudice avéré : déposez plainte au commissariat ou sur Pré-Plainte en ligne, et faites un signalement Cybermalveillance.gouv.fr.

Oui. Xoom est une filiale officielle de PayPal, rachetée en 2015, spécialisée dans les transferts d'argent internationaux. C'est précisément ce qui rend l'arnaque crédible : si vous vérifiez "Xoom France" sur Google, vous trouvez bien un service PayPal légitime. Les escrocs utilisent ce nom réel pour donner une apparence de plausibilité à un faux paiement sortant.

awstrack.me est le service de tracking d'Amazon Web Services (AWS). Les fraudeurs l'utilisent pour masquer la destination finale du lien dans les filtres anti-phishing. Quand vous survolez le lien, vous voyez "amazonaws.com" qui paraît rassurant, mais après le clic, la redirection vous amène vers le faux site PayPal.

Votre adresse provient probablement d'une fuite de données passée (LinkedIn 2021, Yahoo 2013, fournisseur internet, marchand en ligne…). Vérifiez sur haveibeenpwned.com si votre email a été compromis.

Si vous n'avez ni cliqué ni saisi d'identifiants, il ne se passe rien. L'email seul n'a aucun pouvoir sur votre compte PayPal. Supprimez-le, marquez-le comme spam, et continuez votre journée.

PayPal traite les signalements envoyés à spoof@paypal.com mais n'a pas le pouvoir technique de bloquer un domaine tiers. C'est Phishing Initiative (CERT Orange Cyberdefense) et Google Safe Browsing qui transmettent les sites frauduleux aux navigateurs pour qu'ils affichent un avertissement.

Non. PayPal est, comme Darty ou la Banque Postale, une marque victime d'usurpation. Il n'a aucun moyen technique d'empêcher des escrocs d'envoyer des emails se faisant passer pour lui depuis des domaines tiers.