Le 21 janvier dernier, Perrine recevait un e-mail de Mondial Relay l’informant que son colis n’avait pu lui être livré, et lui proposant de choisir un autre mode de retrait. N’ayant passé aucune commande, elle en a conclu qu’il s’agissait d’une tentative de phishing, et elle avait raison. Pourtant, tout avait été prévu pour qu’elle se fasse berner.

Un e-mail sans fausse note

Tout, dans le message reçu par Perrine, est crédible : le logo et les couleurs sont bien ceux de Mondial Relay et le texte ressemble à un vrai message, avec des phrases bien construites et sans faute d’orthographe. Les escrocs ont même poussé le vice jusqu’à mettre en garde les destinataires contre une campagne de phishing en cours.

Les escrocs imitent de mieux en mieux les véritables e-mails de livraison.

Un site très complet

Le faux site Internet vers lequel renvoie le mail est impressionnant de réalisme. Il va jusqu’à proposer de choisir un autre point relais parmi ceux de Mondial Relay ou d’opter pour une livraison à domicile. Les victimes étaient ensuite invitées à fournir leurs données personnelles (nom, prénom, numéro de téléphone, adresse, etc.) mais aussi bancaires, sous prétexte de payer des frais de relivraison.

L’e-mail de l’expéditeur, l’URL du site et la demande de paiement doivent alerter.

Des preuves d’arnaque bien cachées

Cet exemple montre à quel point les campagnes de phishing sont de plus en plus évoluées. Dans ce cas précis, seuls l’adresse d’origine du mail (contact@telsaleads.com) et l’URL du site (Mondials-relais.com au lieu de Mondialrelay.fr) prouvaient qu’il s’agissait d’une arnaque. Le fait que le message soit envoyé par mail (les sociétés de livraison ont plus tendance à privilégier le SMS) et que des frais supplémentaires soient réclamés aurait aussi pu mettre la puce à l’oreille.

Soyez plus que jamais méfiants

Plus que jamais, faites attention aux messages que vous recevez, surtout quand on vous demande vos données bancaires. Dans ce cas, cela doit passer par un module de paiement officiel géré par une banque. Les fenêtres insérées dans une page mail dans lesquelles vous devez renseigner le numéro à 16 chiffres, la date d’échéance et le code au verso, comme c’est le cas ici, n’offrent aucune sécurité. En cas de doute, contactez le service client du professionnel afin de vérifier que la demande vient bien de lui.