Pour vous, nous sommes tombés dans le panneau d’une arnaque grossière. Plusieurs personnes dans nos bureaux ont reçu différentes versions d’un même type de SMS de phishing (ou hameçonnage). Ces campagnes de cyberattaques massives n’ont pas forcément de lien entre elles, mais elles utilisent les mêmes leviers.
Leur scénario doit vous convaincre, donc lisez-bien : vous seriez sur le point de recevoir un colis, mais — malheureusement — il reste un « affranchissement » ou une « douane » à payer. Heureusement, ce SMS est là pour vous permettre de rapidement accéder au site de l’entreprise de livraison (Colissimo, Chronopost, Mondial Express…) et payer les 2 euros manquants. Après tout, qu’est-ce que 2 euros, si ça vous évite le risque de louper la livraison d’un colis ? Quelques clics plus tard, vous avez communiqué des informations personnelles (nom, prénom, email, adresse, numéro de téléphone…) et vos informations de carte bleue.
Avec tout ce pactole de données, les malfaiteurs peuvent vous extorquer de l’argent, créer de nouvelles arnaques mieux personnalisées pour vous soutirer d’autres informations ou encore vendre vos informations au marché noir. La liste est longue. En plus du délit initial : vous voler de l’argent.
Si vous êtes tombé dans ce genre de panneau, vous n’êtes pas seuls : le phishing est la cybermenace la plus répandue, et celle qui cause le plus de dommage, d’après le site gouvernemental cybermalveillance.gouv.fr. Une baisse d’attention, une méfiance au plus bas, et beaucoup de personnes se font avoir.
Dans notre petite expérience, nous avons ignoré tous les signaux d’alarme sur notre chemin jusqu’à (presque) nous faire arnaquer. Mais nous allons quand même vous montrer les (grosses) ficelles utilisées.
Ce SMS aurait dû éveiller nos soupçons
Voici le SMS que nous avons reçu :
Premier réflexe : nous regardons l’expéditeur du message. Il s’agirait de « LPPS ». Après un rapide tour sur un moteur de recherche, nous ne trouvons pas la signification de ce sigle, et il ne renvoie pas vers une entreprise de livraison. Soit.
Ensuite, nous n’avons pas commandé de colis, mais nous en recevons dans le cadre de notre travail — il est plausible qu’une entreprise nous informe d’une livraison. En revanche, aucune trace du numéro de suivi du paquet dans nos emails.
Attention aux liens douteux, ne pas cliquer est toujours la bonne option
Le SMS suggère qu’il manque un affranchissement et sous-entend que nous ne recevrons pas le colis, sauf si nous suivons les instructions. La Poste, entreprise mère de l’entreprise de livraison Colissimo, rappelle sur son site officiel qu’elle « ne demandera jamais de payer pour retirer un colis » et « qu’il s’agit d’une fraude. »
Dernier point : l’URL du site où nous trouverons les instructions semble être une combinaison aléatoire de chiffres et de lettres. Elle ne renvoie pas à un nom de domaine officiel comme colissimo.entreprise.laposte.fr ou chronopost.fr. Une des premières règles d’hygiène numérique sur le web est de ne pas cliquer sur les liens douteux.
Mais après tout, nous n’avons qu’une vie. Cliquons.
Cette copie du site de La Poste aurait dû éveiller nos soupçons
Le lien nous redirige, non sans mal, vers un site qui est en apparence celui de La Poste.
Notre navigateur (Safari) nous indique que le site est « non sécurisé ». En même temps, le nom du site « pakkeinfo.mikulagroup.com » paraît franchement suspect, et ne s’approche même pas d’un nom de site connu. Autre problème : pratiquement aucun bouton affiché sur la page ne fonctionne.
Les arnaqueurs reproduisent des sites connus pour tromper leurs victimes
En revanche, le site ressemble franchement à laposte.fr, le site officiel de La Poste, et il affiche son logo officiel. Notre supposé numéro de colis est prérempli, et nous n’avons plus qu’à cliquer sur « Valider » (bouton qui fonctionne) pour passer à l’étape suivante. Pratique !
Une fois cliqué, un message intitulé « Votre Colis Est En Route » nous annonce, tout en majuscule : « en attente au centre de distribution, traitement en cours au terminal de Paris, paiement manquant de 2 €, votre emballage sera envoyé lorsque le montant sera payé. » Les instructions sont confuses et ne donnent aucune précision, mais nous comprenons qu’il faut payer. Nous cliquons sur « livraison payante ».
Cette page de paiement aurait dû éveiller nos soupçons
La validation nous renvoie vers une page de paiement, avec un formulaire.
Nouvelle page, nouveau nom de domaine, nous sommes désormais sur « pay.healthifin.eu ». Aucun rapport avec une entreprise de livraison. Le formulaire nous demande de renseigner plusieurs informations : prénom, nom, adresse, code postal, ville, email, et numéro de téléphone.
Il nous faut régler 1,50 euro, au lieu des 2 euros demandés initialement. Mais ce qui nous intrigue encore plus, c’est la case qu’il faut cocher, sous le formulaire. Il est écrit « healthifin.eu est un produit basé sur un abonnement qui sera reconduit au prix de 63,00 euros tous les 30 jours à l’issue des 4 jours de la période de renouvellement à moins que l’abonnement ne soit résilié. »
Nous décidons de ne pas donner d’information à ce site frauduleux, mais nous continuons notre petite enquête sur notre ordinateur. Nous ne pourrons aller bien loin : Notre navigateur web nous bloque avant d’accéder à la page que nous avions ouverte sur smartphone. Nous continuons quand même notre navigation, mais elle aboutit à une page d’erreur.
Nos « hackers » sont franchement fainéants
Après une simple recherche sur un moteur de recherche, nous retrouvons le site healthinfin.
Finis les colis : le site nous propose un plan de nutrition et des programmes d’entraînement. La page ne donne que très peu de détails sur le contenu de ces prétendus entrainements, mais présente 13 boutons pour nous rediriger vers l’offre d’abonnement.
Nous aboutissons à la même page de paiement que pour l’arnaque au colis, avec la même offre. Les malfaiteurs ont donc recyclé dans la livraison de colis, une page développée pour une entourloupe dans la musculation.
En creusant un peu, nous apprenons que plusieurs noms de domaines similaires ont été déposés entre octobre et novembre 2019, avec des variations : healthix.eu, health-ix.eu, healthfix.eu… Et la plupart n’hébergent déjà plus aucun site. Les entourloupeurs ont vraisemblablement multiplié leur entourloupe. Mais ces sites frauduleux n’ont pas de grandes durées de vie : les hébergeurs les suppriment régulièrement, et plusieurs organismes de régulation en font la chasse.
Pour aller au bout de l’entourloupe, nous avons appelé le numéro de téléphone britannique indiqué en bas du site d’healthinfin : sans surprise, il renvoie vers une boîte vocale payante. Le principe est connu : une fois les victimes entourloupées, elles tentent d’appeler ce numéro, et se font à nouveau extorquer de l’argent.
Notre petite aventure se termine sans conséquence. Mais si ce hameçonnage était grossier, d’autres utilisent les mêmes ficelles (se faire passer pour une entreprise connue, reproduire l’habillage d’un site) de façon bien plus fine.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !