Marie Bourdellès
Tentative de phishing dans les boîtes aux lettres
Un avis de passage falsifié aux couleurs de la Poste renvoie, via un QR code, vers un site frauduleux. Cette escroquerie, d’abord physique ensuite en ligne, vise à soutirer aux victimes des informations personnelles, dont leurs coordonnées bancaires.
Le tweet a très vite fait le tour de la Toile : l’internaute y affiche un avis de passage qu’il a reçu dans sa boîte aux lettres.
Le document présenté est crédible : affublé des couleurs de la Poste, d’un numéro de suivi d’une supposée lettre recommandée, il est également doté d’un QR code (ou du « lien de suivi » afférent, une très longue url). Ce dernier est censé permettre de « confirmer la re-livraison de votre lettre ». C’est là que se situe l’arnaque. Lorsque l’on scanne le QR code, on atterrit sur un faux site de la Poste, qui vous demande de rentrer vos coordonnées bancaires afin de régler les frais d’expédition.
Cette arnaque est à la fois innovante – un document physique est à l’origine d’une attaque de phishing – et d’autant plus trompeuse que l’url contenue dans le QR code appartient bien à la société publique. Les escrocs ont procédé à une redirection automatique vers un site illicite reprenant les couleurs de la Poste, comme l’indique Signal-arnaques.com.
Nous avons retesté ce QR code depuis : la Poste a fait le nécessaire, l’url renvoie désormais vers la page d’accueil de son site officiel (laposte.fr).
Phishing : comment ne pas tomber dans le piège
Les tentatives de phishing (ou hameçonnage) foisonnent sur Internet. Les escrocs ne cessent de renouveler et diversifier leurs méthodes. Les prétextes diffèrent (gain d’argent, faux messages d’une administration, soucis financiers…), mais les ressorts pour une « bonne » arnaque sont peu nombreux : la peur, l’urgence, une heureuse nouvelle…
Avec cet appât du faux avis de passage, les personnes malveillantes comptent sur le fait que le destinataire sera inquiet, et donc pressé, de connaître le contenu du pli recommandé. Le document déposé dans la boîte aux lettres, bien imité, ainsi que l’adresse url qui commence par « laposte.fr », visent à mettre en confiance la future victime.
Certains détails (comme l’expression « re-livraison » qui n’est pas française, la très longue url) éveillent les soupçons. En cas de doute, un appel à son bureau de Poste permet d’éviter de se faire escroquer. Comparer le document reçu avec un vrai avis de passage lèvera aussi le doute.
De manière générale, quelques bons réflexes évitent d’être victime de ces pièges : si une annonce est trop belle pour être vraie, méfiez-vous et renseignez-vous sur la véracité de l’information, en appelant un organisme officiel, en lisant des avis ou actualités sur Internet… De plus, ne transmettez pas vos données personnelles sur un site que vous ne connaissez pas, sachant qu’une administration, une banque ou autre organisme ne vous demandera pas ces renseignements en ligne.