Si vous avez reçu un email de la Fnac ou de Darty au sujet d’une confirmation de commande que vous n’avez pas passée, faites attention. Une campagne d’hameçonnage récurrente, déjà repérée en 2018 et 2019, joue sur cette peur pour vous soutirer vos données personnelles, ainsi que vos données bancaires. Par exemple, le 25 février 2020, Fabian Rodes a lancé un avertissement :
Un scénario bien travaillé
Voici le scénario : vous recevez une confirmation de commande d’un montant de plus de 500 euros pour des objets hi-tech (téléviseur, smartphone, casque audio…), depuis une adresse email qui finit par « fnac.com ». Le contenu de l’email est également une copie quasi parfaite de ceux de la Fnac (ou de Darty).
En adresse de facturation, il indique votre vrai nom et votre vraie adresse. En revanche l’adresse de livraison n’est pas la vôtre. Mais revenons au scénario : vous allez perdre beaucoup d’argent à cause de la commande frauduleuse, mais heureusement, l’email vous propose d’annuler votre commande. Si vous cliquez, le piège des arnaqueurs se déploie.
L’objectif : voler vos données personnelles et vos informations bancaires
La première page (dont l’adresse contient fnac.com) sur laquelle vous serez renvoyée affiche un premier formulaire, qui respecte la charte graphique du site de la Fnac. La fausse Fnac vous demande de « vérifier votre adresse ». La plupart des informations (nom, ville, code postal) sont préremplies, mais vous pouvez les modifier, et on vous demande d’indiquer également votre numéro de téléphone. Une fois les informations validées (et donc envoyées dans les bases de données des arnaqueurs), vous serez renvoyés sur une autre page. Avec ces données, les hackers pourront créer un hameçonnage encore plus précis (par exemple contre votre adresse d’entreprise pour déployer un rançongiciel), ou les revendre sur Internet, à d’autres personnes qui les utiliseront à des fins malveillantes.
Nouvelle page, nouveau nom de domaine : la fausse Fnac vous propose enfin de rembourser votre commande, moins des frais de quelques euros.
Pour « prouver que vous êtes titulaire du compte », vous devez « renseigner les données de paiement » : numéro, date d’expiration et cryptogramme de votre carte bancaire. C’est bon : les hackers ont récupéré votre carte bancaire, et peuvent l’utiliser à leurs fins. Le site Zataz, qui avait repéré une version de l’arnaque en 2019, expliquait que dans leur cas, la page pouvait reconnaître l’entrée de fausses informations. Mieux, elle prétendait ensuite envoyer un code SMS de confirmation qui n’arrivait pas.
Un phishing bien ficelé, nourri par vos données
L’email a plusieurs atouts pour vous convaincre.
D’abord, il semble provenir d’une adresse en @fnac.com. Nous en avons trouvé plusieurs exemples : [email protected], [email protected] ou encore [email protected]. L’email semblera donc venir de Fnac.com et renverra à un nom de domaine en apparence légitime. Sauf que n’importe quelle personne qui s’y connaît un peu en informatique peut déguiser un message de la sorte. Par exemple, en à peine une minute, nous avons pu nous envoyer cet email :
Si les utilisateurs pensent à vérifier l’adresse de l’envoi, ils ne font pas toujours attention aux autres signaux d’alerte. Par exemple, dans notre cas, le macaron avec le point d’interrogation signifie que le système de sécurité de notre messagerie n’a pas pu confirmer que l’email a bien été envoyé par fnac.com. Les arnaqueurs jouent sur le sentiment d’urgence — des centaines d’euros sont en jeu ! — pour vous détourner de ce genre de signaux d’alerte moins évidents.
Pour être convaincant, le message inclut votre adresse exacte, votre nom exact, et dans certains cas votre numéro de téléphone. Les arnaqueurs ont aussi votre email et savent que vous êtes client de la Fnac, puisqu’ils ont pu vous envoyer ce message sur-mesure. Comment ont-ils mis la main sur vos données ? Une piste vraisemblable mènerait à une fuite des serveurs de Fnac-Darty. Sauf que le groupe a déclaré dans son mail d’avertissement sur la campagne de phishing en juin 2019 que les données utilisées dans ces emails ne proviennent pas de fuites de données de ses systèmes d’information. De même, aucune importante fuite de données n’a été rendue publique. Mais en 2020, les leaks qui permettent d’associer un mail à une adresse physique ne manquent pas.
Enfin, nous avons mis côte à côte le message frauduleux et un vrai message de confirmation de commande. La comparaison est bluffante, à une grosse différence près. L’email officiel vous propose de « suivre votre commande » en cliquant sur un bouton « mon compte ». L’arnaque, elle, vous propose directement un bouton « annuler votre commande ». Plus généralement, les arnaqueurs ont pensé à plusieurs petits détails : les mentions légales sont au bon endroit, les messages de paiement ont de fausses pastilles de sécurité et les menus déroulants peuvent vraiment être déroulés.
Une campagne de phishing récurrente depuis 2018
Nous avons trouvé de premières traces de cette campagne frauduleuse dès avril 2018. Cybermalveillance.gouv.fr, le dispositif national d’assistance aux victimes de cybermalveillance, avait même communiqué sur le sujet :
Le groupe Fnac-Darty avait envoyé à ses clients un message d’avertissement sur cette campagne phishing, comme l’avait repéré BFM en octobre 2018.
Ensuite, une deuxième vague massive d’emails avait visé les clients de Fnac-Darty à l’été 2019. Le groupe avait à nouveau communiqué auprès de ces clients, comme l’avait relevé Zataz. L’email officiel envoyé aux clients rappelait quelques précautions de base et des conseils d’hygiène numérique. Il conseillait aussi aux clients qui avaient mordu au hameçonnage de changer le mot de passe de leur compte et de faire opposition sur leur carte bancaire.
Pour réduire les risques de vous faire arnaquer par ce type d’email, vous pouvez systématiquement privilégier l’utilisation d’un moteur de recherche pour accéder au site d’une entreprise. Vous pourrez ainsi vérifier sur votre compte que la prétendue commande existe vraiment dans votre historique des commandes.
De son côté la Fnac avait indiqué en 2019 qu’elle faisait ce qui était en son pouvoir pour fermer les sites frauduleux qui abusent de son identité.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !