Faux avis de passage, SMS frauduleux : attention à ces arnaques sur les livraisons de colis

Un SMS annonçant la livraison d’un colis dans lequel figure un lien. Un avis de passage de La Poste demandant une somme pour récupérer un bien. Attention : ce sont des arnaques.

Pas de vacances pour les escrocs. Le site gouvernemental Cybermalveillance.gouv alerte sur une arnaque observée depuis cet été : les escroqueries à la livraison de colis. 

« À l’été 2022, une nouvelle campagne de SMS frauduleux à la livraison de colis est observée », indiquent les experts. Un type d’escroquerie qui n’est pas nouveau mais dont les risques encourus sont nombreux : virus, piratage de téléphone, vol de mots de passe, piratage de comptes bancaires,…

Et ce n’est malheureusement pas la seule arnaque observée ces dernières semaines : de (faux) avis de passage estampillés La Poste pullulent dans les boîtes aux lettres dont le but est de soutirer de l’argent aux victimes.

L’arnaque à la livraison de colis….

Bien que ce genre d’escroquerie soit monnaie courante, cette campagne frauduleuse semble particulièrement agressive. La méthodologie de l’arnaque est simple : la victime reçoit un SMS lui indiquant qu’elle a reçu un colis , ou que celui-ci est en cours de livraison, et qu’il faut « le vérifier ». 

Dans le corps du message se trouve un lien qui, lorsque l’on clique dessus, demande à l’utilisateur d’installer une mise à jour (pour les détenteurs d’Android) ou de ressaisir son  identifiant et son mot de passe de compte Apple (pour les détenteurs d’iPhone).

Mais attention : tout ceci n’est qu’une vaste fraude qui permet aux escrocs soit d’installer un virus, via la mise à jour, ou de pirater le compte Apple grâce aux coordonnées indiquées par la victime.

Exemples de SMS frauduleux reçus (©Capture écran Cybermalveillance)

…. et à l’avis de passage

Autre arnaque repérée : celle du faux avis de passage. Le modus operanti est, encore une fois, très simple.  La victime reçoit dans sa boîte aux lettres un avis de passage de La Poste sur lequel figure un QR Code.

Une fois celui-ci scanné, la personne est redirigée vers un site frauduleux reprenant la même typologie que celui de la Poste et où il est demandé de renseigner ses coordonnées bancaires, comme l’explique cet internaute sur Twitter.

Contacté par nos collègues du Métropolitain, la Poste indique que le problème a été résolu. « Depuis le tweet, nous avons réussi à intervenir rapidement pour éviter qu’il n’y ait plus de victimes ». 

Une escroquerie bien ficelée

Il n’est pas toujours chose aisée de passer à travers les mailles du filet de cette arnaque tant celle-ci est (quasi) parfaite.

En effet, parfois les logos de la société de livraison (La Poste, Chronopost) apposés dans les messages frauduleux, ressemblent à s’y méprendre aux originaux. Même chose pour les informations sur le suivi du colis et notamment le numéro : on s’y croirait presque. 

« Autant d’éléments qui visent à mettre en confiance la victime pour mieux la tromper », constate Cybermalveillance avant d’ajouter que « ce mode opératoire particulièrement rodé est tourné de telle manière qu’il peut berner aussi bien une personne qui attend la réception d’un colis qu’une autre personne qui en a expédié un ».

Comment ne pas tomber dans le piège ? 

Concernant la Poste, notez qu’aucune compensation financière ne sera demandée pour la rétribution d’un colis. Dès lors, le cas inverse doit alerter.

Pour le SMS frauduleux : si le lien à l’intérieur ne renvoie pas vers une adresse officielle ou si celle-ci vous semble étrange, il s’agît probablement d’une arnaque. 

Si vous avez cliqué sur le lien, « vérifiez l’adresse du site qui s’affiche dans votre navigateur. Si cela ne correspond pas exactement au site concerné, il s’agit certainement d’un site frauduleux » préviennent les experts. 

Et si, malheureusement, vous avez mis à jour votre téléphone ou donné vos identifiants, il est conseillé de suivre les démarches ici pour Android (en cas de virus) et ici pour Apple (en cas de piratage de compte).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.