Il suffit d’un message pour qu’une fausse information se répande. Le 17 septembre, une utilisatrice de Twitter pensait avertir ses 3 000 abonnés au sujet d’un SMS piégé, capture d’écran à l’appui : « LES GENS LISEZ TOUS TRÈS URGENT. Je viens de recevoir ça comme message alors que je n’ai pas passé de commande, ils vont vous envoyer un lien pour suivre la ‘commande’ mais quand vous allez cliquer dessus y’aura rien. Ils tracent votre localisation comme ça pour le kidnapping » (sic).
La jeune femme explique qu’elle a eu connaissance du prétendu traquenard grâce à « une vidéo sur TikTok US ». Son message, partagé plus de 17 000 fois, est commenté par de nombreux utilisateurs et utilisatrices qui ont reçu un SMS identique et la remercient.Sauf que l’autrice du message fait fausse route : même si elle avait cliqué, elle n’aurait pas permis à des pirates de « tracer sa localisation ». Surtout, elle n’aurait en aucun cas risqué un kidnapping. En revanche, elle a raison sur un point : mieux vaut ne pas cliquer sur le lien.
Le message qu’elle a reçu est un SMS de phishing, comme il en existe beaucoup, qui vise « seulement » à extorquer de l’argent et des données personnelles à ses cibles. Celui relayé par la jeune femme fait partie des plus récurrents, et s’appuie toujours le même scénario : l’entreprise de livraison (Colissimo, Chronopost…) exigerait un « affranchissement » ou un « droit de douane » d’un petit prix (entre 1 et 3 €) pour que vous puissiez recevoir votre colis. Les pirates partent du principe que vous en avez commandé un, et que vous l’attendez avec impatience.
Cyberguerre avait déjà disséqué en détail cette arnaque février 2020, mais elle continue à circuler depuis. D’ailleurs, elle circulait déjà avant : le Parisien, par exemple, avertissait ses lecteurs en 2019.
Qu’est-ce qu’il se passe quand je clique sur le lien ?
Nous avons cliqué sur le lien indiqué dans le message d’alerte de l’utilisatrice Twitter, ainsi que cinq autres mentionnés en réponse : tous renvoient vers la même page, « https://chercher.findalostitem.top/ ».
Si elle a l’apparence d’une page du site de La Poste, elle n’appartient pas au service postal. C’est un des signaux les plus évidents de l’arnaque. Une petite recherche sur Google avec les mots-clés « site officiel La Poste » permet de voir que l’organisation a deux principaux noms de domaine : laposte.fr et laposte.net. Toute adresse qui ne finit pas en « laposte.fr » ou « laposte.net » a donc très peu de chance d’appartenir à La Poste.
Si nous cliquons sur « Terminez le paiement de €2,95 pour expédition dès maintenant », une autre page s’ouvre. Elle nous indique un formulaire à remplir avec nos informations personnelles (prénom, nom, adresse, téléphone, adresse email).
L’adresse de cette page, « fittyworld[.]net » est celle d’un faux site de fitness, similaire à celui que nous avions déjà exploré en février. Si vous donnez vos informations bancaires à ce site vous serez prélevé chaque mois pour un abonnement fictif à un site de fitness, et en aucun cas le paiement ne servira à la livraison d’un colis.
Une fois que nous avons donné nos informations personnelles, une fausse page de paiement s’ouvre pour demander nos informations de carte bancaire. Il ne faut absolument pas remplir ces pages : les données aboutiraient sur les ordinateurs des pirates, qui pourraient ensuite s’en servir à leur propre fin.
Résumons : si vous avez simplement cliqué sur le lien dans le SMS, vous ne risquez rien. En revanche, si vous avez donné vos informations bancaires, faites opposition sur votre carte bleue au plus vite, car les arnaqueurs pourraient s’en servir. Et si vous avez communiqué vos données personnelles, faites attention aux tentatives de phishing dont vous pourriez être victime.
Comment puis-je savoir qu’ils ne tracent pas ma localisation ?
Une page web ne peut pas obtenir vos données de géolocalisation sans votre consentement. Le site peut envoyer des commandes à votre appareil (smartphone, ordinateur) pour obtenir votre géolocalisation. Cependant, par défaut, votre navigateur web (Safari, Chrome, Firefox…) va filtrer ces demandes d’accès. Il affichera un message de notification pour vous faire part de la demande du site : vous pourrez alors « accepter » ou « bloquer » la demande de géolocalisation.
Dans notre cas, le faux site de Laposte ne fait même pas de demande de géolocalisation, vous n’avez donc pas à vous inquiéter : il ne pourrait pas forcer l’accès à vos données. En revanche, si vous téléchargez une application malveillante, il est possible qu’elle puisse contourner la demande d’autorisation. Mais une page web n’aura pas cette possibilité, à moins que votre navigateur lui-même présente une vulnérabilité. Une éventualité extrêmement peu probable, qui concernerait des millions d’utilisateurs.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.