Les SMS de phishing sur des colis en attente sont de plus en plus nombreux. Mais petite nouveauté : certains contiennent directement votre nom et votre prénom, pour mieux vous faire tomber dans le piège.
Les escrocs, on le sait, ne manquent pas d'imagination, mais avec les innombrables fuites de données de ces derniers mois et années, ils ne manquent pas non plus de données, de nos données. Ce matin, j'ai reçu un SMS de phishing (hameçonnage) presque habituel, « on a votre colis, il nerentre pas dans la boîte, bla bla bla », sauf que cette fois, il m'était nommément adressé. Et comme je suis curieux, j'ai voulu en savoir plus, pour mieux sensibiliser l'opinion.
L'escroc m'écrit à mon nom, pour me piéger avec une arnaque au colis
Évidemment, le SMS reçu met tout de suite en garde ma petite personne sensibilisée à la cybersécurité. Il faut dire que celui-ci est déjà signalé en spam (on remercie les autres utilisateurs), même si le fait qu'il s'agisse d'un numéro en 06 peut instaurer une certaine confiance. Je vous rappelle que les numéros de ce type que vous recevez appartiennent bien à des personnes comme vous et moi. Non, ça n'arrive pas qu'aux autres. Mais revenons à notre SMS.
Voici ce que l'escroc écrit dans son message : « C'est le livreur, j'ai un colis au nom de Alexandre Boero qui ne rentrait pas dans la boite aux lettres, veuillez choisir un relais… », et là, je fais fasse à l'adresse « mondial-expediteur.com », qui évidemment incite au clic. Alors, est-ce qu'il me connaît cet escroc ? Pas personnellement, mais il a certaines de mes données en sa possession, comme hélas des dizaines de millions (pour ne pas dire une immense majorité) de Français.
Si vous avez une bonne hygiène cyber et une sensibilisation correcte, vous passerez rapidement son chemin, en signalant au passage le numéro comme spam, histoire de jouer votre rôle dans ce système participatif. J'ai voulu voir ce qu'il y avait ensuite, ce qu'il y avait derrière, en cliquant sur le lien, chose, je le dis et j'insiste, à ne pas faire ! Figurez-vous que je n'ai pas été déçu.
Un habile stratagème qui vous conduit à donner à l'escroc vos données bancaires
Surprise, en cliquant sur le lien rattaché au SMS, je tombe sur une version plus vraie que nature du site de Mondial Relay, que les Français connaissent bien. Sur la page, on retrouve un numéro de colis (qui est bien trop court, ce qui peut alerter ici encore), et un champ pour taper son numéro de téléphone.
Je me suis donc amusé à rentrer un numéro de téléphone totalement bidon, et miracle, cela fonctionne, on passe à l'étape suivante ! L'étape suivante, c'est celle du choix, un peu comme cet épisode du dessin-animé Batman, L'énigme du Minotaure (avec Richard Darbois en voix off, je conseille). On nous propose de choisir entre « Reprogrammez à domicile » la livraison, ou la « Collecte au Point Relais ». Parce que je tiens à mon petit confort, et aussi à rester chez moi, je choisis la première option.
Là, le site me demande une date. Les arnaqueurs ont plutôt bien fait les choses, puisque les dates correspondent à notre calendrier du moment. Je choisis au hasard un créneau, et là, hop, je dois remplir quelques informations (coordonnées personnelles), non sans m'amuser un peu, je vous laisse voir l'image. La dernière page, c'est la plus importante : celle du paiement des frais de livraison.
Sans vous rappeler que programmer une nouvelle livraison ne génère jamais de frais supplémentaires, la page est bien faite, et elle n'a que pour but, de collecter vos données de carte bancaire, en vous présentant en montant dérisoire (ici 0,99 euro), pour finir de vous convaincre. Sauf que vous l'aurez compris, la facture et les conséquences risquent d'être bien plus lourdes. Autant de raisons, donc, de ne pas tomber dans le piège.
