Une entreprise de livraison de colis ne vous demandera jamais de régler des frais supplémentaires pour pouvoir vous livrer. En revanche, des malfrats essayeront de vous piéger en vous le faisant croire. Le magazine Numerama a mis un pied dans cette arnaque pour vous expliquer le procédé
Article original : Numerama – 2 € pour recevoir un colis ? On a mordu à un SMS de phishing pour vous expliquer cette arnaque
Pour vous, nous sommes tombés dans le panneau d’une arnaque grossière. Plusieurs personnes dans nos bureaux ont reçu différentes versions d’un même type de SMS de phishing (ou hameçonnage). Ces campagnes de cyberattaques massives n’ont pas forcément de lien entre elles, mais elles utilisent les mêmes leviers. Leur scénario doit vous convaincre, donc lisez-bien : vous seriez sur le point de recevoir un colis, mais — malheureusement — il reste un « affranchissement » ou une « douane » à payer. Heureusement, ce SMS est là pour vous permettre de rapidement accéder au site de l’entreprise de livraison (Colissimo, Chronopost, Mondial Express…) et de payer les 2 euros manquants. Après tout, qu’est-ce que 2 euros, si ça vous évite le risque de louper la livraison d’un colis ? Quelques clics plus tard, vous avez communiqué des informations personnelles (nom, prénom, email, adresse, numéro de téléphone…) et vos informations de carte bleue.
Avec tout ce pactole de données, les malfaiteurs peuvent vous extorquer de l’argent, créer de nouvelles arnaques plus personnalisées pour vous soutirer d’autres informations ou encore vendre vos informations au marché noir. La liste est longue. En plus du délit initial : vous voler de l’argent.
Si vous êtes tombé dans ce genre de panneau, vous n’êtes pas seuls : le phishing est la cybermenace la plus répandue, et celle qui cause le plus de dommage, d’après le site gouvernemental cybermalveillance.gouv.fr. Une baisse d’attention, une méfiance au plus bas, et beaucoup de personnes se font avoir.
Dans notre petite expérience, nous avons ignoré tous les signaux d’alarme sur notre chemin jusqu’à (presque) nous faire arnaquer. Mais nous allons quand même vous montrer les (grosses) ficelles utilisées.
Ce SMS aurait dû éveiller vos soupçons
Notre petite aventure commence avec un SMS de phishing, pas des plus sophistiqués :
Source : Capture d’écran Numerama
Premier réflexe : nous regardons l’expéditeur du message. Il s’agirait de « LPPS ». Après un rapide tour sur un moteur de recherche, nous ne trouvons pas la signification de ce sigle, et il ne renvoie pas vers une entreprise de livraison. Soit.
Ensuite, nous n’avons pas commandé de colis, mais nous en recevons dans le cadre de notre travail — il est plausible qu’une entreprise nous informe d’une livraison. En revanche, aucune trace du numéro de suivi du paquet dans nos emails.
ATTENTION AUX LIENS DOUTEUX, NE PAS CLIQUER EST TOUJOURS LA BONNE OPTION
Le SMS suggère qu’il manque un affranchissement et sous-entend que nous ne recevrons pas le colis, sauf si nous suivons les instructions. La Poste, entreprise mère de l’entreprise de livraison Colissimo, rappelle sur son site officiel qu’elle « ne demandera jamais de payer pour retirer un colis » et « qu’il s’agit d’une fraude. »
Dernier point : l’URL du site où nous trouverons les instructions semble être une combinaison aléatoire de chiffres et de lettres. Elle ne renvoie pas à un nom de domaine officiel comme colissimo.entreprise.laposte.fr ou chronopost.fr. Une des premières règles d’hygiène numérique sur le web est de ne pas cliquer sur les liens douteux.
Mais après tout, nous n’avons qu’une vie. Cliquons.
Cette copie du site de La Poste aurait dû éveiller nos soupçons
Après avoir cliqué sur le lien dans le SMS, nous sommes redirigés vers un site qui est en apparence celui de La Poste :
Source : Capture d’écran Numerama
Notre navigateur (Safari) nous indique que le site est « non sécurisé ». En même temps, le nom du site « pakkeinfo.mikulagroup.com » paraît franchement suspect, et ne s’approche même pas d’un nom de site connu. Autre problème : pratiquement aucun bouton affiché sur la page ne fonctionne, cela signifie que ce qui s’affiche n’est pas une page web normale, mais plutôt une image copiée d’un site officiel.
LES ARNAQUEURS REPRODUISENT DES SITES CONNUS POUR TROMPER LEURS VICTIMES
En revanche, le site ressemble franchement à laposte.fr, le site officiel de La Poste, et il affiche son logo officiel. Notre supposé numéro de colis est prérempli, et nous n’avons plus qu’à cliquer sur « Valider » (seul bouton qui fonctionne) pour passer à l’étape suivante. Pratique !
Source : Capture d’écran Numerama
Une fois cliqué, un message intitulé « Votre Colis Est En Route » nous annonce, tout en majuscule : « en attente au centre de distribution, traitement en cours au terminal de Paris, paiement manquant de 2 €, votre emballage sera envoyé lorsque le montant sera payé. » Les instructions sont confuses et ne donnent aucune précision, mais nous comprenons qu’il faut payer. Nous cliquons sur « livraison payante ».
Cette page de paiement aurait dû éveiller nos soupçons
La validation nous renvoie vers une page de paiement, avec un formulaire.
Source : Capture d’écran de Numerama
Nouvelle page, nouveau nom de domaine, nous sommes désormais sur « pay.healthifin.eu ». Aucun rapport avec une entreprise de livraison. Le formulaire nous demande de renseigner plusieurs informations : prénom, nom, adresse, code postal, ville, email, et numéro de téléphone.
Il nous faut régler 1,50 euro, au lieu des 2 euros demandés initialement. Mais ce qui nous intrigue encore plus, c’est la case qu’il faut cocher, sous le formulaire. Il est écrit « healthifin.eu est un produit basé sur un abonnement qui sera reconduit au prix de 63,00 euros tous les 30 jours à l’issue des 4 jours de la période de renouvellement à moins que l’abonnement ne soit résilié. »
Source : Capture d’écran de Numerama
Nous décidons de ne pas donner d’information à ce site frauduleux, mais nous continuons notre petite enquête sur notre ordinateur, les protections réagissant souvent différemment.
Sur notre navigateur internet, nous ne pourrons aller bien loin : Notre navigateur web nous bloque avant d’accéder à la page que nous avions pu ouvrir sur smartphone :
Source : Capture d’écran de Numerama
Nous continuons quand même notre navigation, mais elle aboutit à une page d’erreur nous prévient de la dangerosité du site :
Source : Capture d’écran de Numerama
Nos « hackers » sont franchement fainéants
Après une simple recherche sur un moteur de recherche, nous retrouvons le site healthinfin. Sur ce site, finis les colis : à la place, on nous propose un plan de nutrition et des programmes d’entraînement. La page ne donne que très peu de détails sur le contenu de ces prétendus entraînements, mais présente 13 boutons pour nous rediriger vers l’offre d’abonnement.
Source : Capture d’écran de Numerama
Nous aboutissons à la même page de paiement que pour l’arnaque au colis, avec la même offre. Les malfaiteurs ont donc recyclé dans la livraison de colis, une page développée pour une entourloupe dans la musculation.
En creusant un peu, nous apprenons que plusieurs noms de domaines similaires ont été déposés entre octobre et novembre 2019, avec des variations : healthix.eu, health-ix.eu, healthfix.eu… Et la plupart n’hébergent déjà plus aucun site. Les entourloupeurs ont vraisemblablement multiplié leur entourloupe. Mais ces sites frauduleux n’ont pas de grandes durées de vie : les hébergeurs les suppriment régulièrement, et plusieurs organismes de régulation en font la chasse.
Pour aller au bout de l’entourloupe, nous avons appelé le numéro de téléphone britannique indiqué en bas du site d’healthinfin : sans surprise, il renvoie vers une boîte vocale payante. Le principe est connu : une fois les victimes entourloupées, elles tentent d’appeler ce numéro, et se font à nouveau extorquer de l’argent.
Notre petite aventure se termine sans conséquence. Mais si ce hameçonnage était grossier, d’autres utilisent les mêmes ficelles (se faire passer pour une entreprise connue, reproduire l’habillage d’un site) de façon bien plus fine.