"Votre colis a été envoyé. Veuillez le vérifier" : l'arnaque au colis par SMS en plein boom

Les arnaques au colis se multiplient en pleine crise sanitaire, alors que les Français ont davantage recours à la livraison à domicile. Attention, si vous avez reçu un SMS invitant à se rendre sur un site internet pour vérifier l'état de la livraison et payer des frais, il s'agir de phishing.

L'e-commerce connaît un boom depuis le début de la crise sanitaire de la Covid-19. Le phishing (ou hameçonnage) aussi, alerte Numerama. Au mois d'avril, beaucoup de Français ont reçu ce SMS : "Votre colis a été envoyé. Veuillez le vérifier et le recevoir." Attention, c'est une arnaque. Mais ce n'est pas la seule.

"Votre colis a été envoyé" : la dernière arnaque qui touche Android

Le SMS "Votre colis a été envoyé. Veuillez le vérifier et le recevoir", suivi d'un lien, paraît normal, surtout quand on attend un colis. Cette technique permet aux arnaqueurs d'accéder à vos données personnelles et à votre argent.

Vidéo du jour

La rédaction de Numerama a fait l'expérience, en cliquant dessus. L'utilisateur est renvoyé vers un lien avec un nom de domaine étrange, et une page blanche. L'expérience peut s'arrêter là. Mais pour les utilisateurs d'Android, cliquer sur le lien peut être plus dangereux. L'utilisateur, cité par Numerama a reçu ce message : "afin d’avoir une meilleure expérience, veuillez mettre à jour votre navigateur Chrome à la dernière version", demandant ensuite de télécharger un fichier "mxpcqpgjyk.apk".

Le média spécialiste du numérique rappelle que les fichiers "apk" sont "des sortes de kits d’installation pour les applications Android". Une fois que l'utilisateur clique sur le fichier, une application est téléchargée sur le smartphone. Le logiciel malveillant se trouve dans deux applications téléchargées : l'une s'apparente à Google Chrome, l'autre est transparente. Objectif : collecter toutes les informations de l'utilisateur, dont les données bancaires.

Pour cela, Numerama explique qu'une page web peut s'afficher, demandant l'accès au compte bancaire bloqué. Numéro de compte, mot de passe, prénom, nom et adresse et informations de la carte bancaire sont réclamés. Si la victime donne accès à tous ces éléments, l'arnaqueur pourra utiliser son compte bancaire comme il le souhaite.

L'arnaque aux SMS colis de mieux en mieux organisée

Mais le SMS reçu au mois d'avril n'est pas le seul. Les escroqueries à la livraison de colis annoncée par un SMS (mais aussi par email) deviennent plus nombreuses et sous différentes formes, analyse la plateforme du gouvernement Cybermalveillance.

Même si vous n'avez pas commandé de colis, le message reçu peut sembler fiable, venant d'un numéro français, sans faute d'orthographe et avec parfois la mention d'un service de transport de colis (Chronopost, UPS, La Poste, Colissimo...), demandant de payer des frais de port, de douane ou TVA pour l'affranchissement d'un colis. Les sommes demandées sont généralement faibles.

Les SMS reçus ressemblent à ceux-là : "Nous avons essayer de livrer votre colis XXXX (un numéro de colis avec lettres et chiffres y figure, ndlr), mais il n'y a aucun affranchissement. Suivez les instructions ici : (un lien se trouve à cet emplacement, ndlr)" ou "Votre colis XXX est en attente d'instruction", suivi d'un lien.

Le lien sur lequel la victime doit cliquer est frauduleux. Il affiche parfois le (faux) logo de l'entreprise de livraison. Si vous avez un doute, regardez l'URL, qui ne correspond pas à celle du site officiel. Le site demande ensuite de remplir les coordonnées de carte bancaire. Toutes ces informations personnelles sont ensuite utilisées pour réaliser des achats en ligne. Les hackers peuvent aussi revendre les données.

D'autres messages frauduleux évoquent le gain d'un lot. Pour le recevoir, l'arnaqueur demande à la victime ses informations personnelles et coordonnées bancaires, explique Cybermalveillance. "En remplissant ce formulaire, vous donnerez votre consentement pour la souscription à un abonnement pour des services dont le réel contenu est très peu ou pas détaillé. Le coût de cet abonnement peut s’élever à plusieurs dizaines d’euros par mois. La résiliation de ce type d’abonnement peut s’avérer très compliquée du fait que les sociétés auprès desquelles elles sont souscrites sont domiciliées à l’étranger", précise la plateforme.

Il est donc recommandé de ne pas cliquer sur les liens et de contacter l'entreprise qui doit vous faire parvenir un colis au moindre doute. Les sites de phishing sont à signaler sur Phishing Initiative. Les SMS doivent être signalés par SMS au 33 700 ou sur la plateforme 33 700 et sur celle du ministère de l'Intérieur.

Que faire si j'ai cliqué sur un lien frauduleux ?

Si vous avez cliqué sur le lien, il est important de garder le message reçu et le nom du site visité comme preuves. Ces éléments servent au dépôt de plainte, à réaliser à la gendarmerie, au commissariat de police, ou par écrit au procureur de la République.

Avant même de remarquer un paiement étrange sur votre compte en banque, et surtout si vous avez transmis des informations confidentielles de paiement, il faut faire opposition rapidement auprès de votre établissement financier. La fraude en ligne doit aussi être signalée sur la plateforme Perceval.

Le ministère de l'Intérieur a mis en place la plateforme Info Escroqueries, joignable au 0 805 805 817 de 9h à 18h30, en semaine, pour tout renseignement.

Pour plus d'informations, le site du gouvernement Cybermalveillance détaille ces escroqueries et les comportements à adopter.