Oui, l'email de Decathlon à propos d'un vélo VanMoof S3 que vous avez reçu est frauduleux.

« Le prix d’aujourd’hui est un vélo VanMoof S3 », avance un email aux couleurs de Decathlon, reçu par de nombreux Français et Françaises, dont Cyberguerre a pu observer plusieurs versions. Nous ferions partie « des 10 utilisateurs choisis au hasard chaque mois » par l’enseigne française pour « leur donner la chance de gagner de fabuleux prix ».

En bas du message il est clairement indiqué que l’offre serait « réservée » à notre adresse email. Quel joli cadeau ! VanMoof a sa place parmi les marques de vélo électrique de référence, et le S3, un modèle sorti en juin 2020, coûte 1 998 €. Problème : comme souvent, lorsque la situation est trop belle pour être vraie… c’est qu’elle est fausse. Vous vous en doutiez en cliquant sur l’article, nous pouvons vous le confirmer : il s’agit d’un email de phishing.

Le faux email reprend le bleu de Decathlon. // Source : Capture d’écran Numerama

Différentes versions de l’email circulent : la page de destination et la finalité de la manipulation peuvent diverger d’un cas à l’autre. Nous avons aussi pu observer que bon nombre de pages malveillantes ont été étiquetées comme telles, voire supprimées dès le lendemain de l’attaque.

Dans l’exemple que nous avons pu suivre jusqu’au bout, les malfaiteurs piègent les victimes en les poussant à s’abonner à un service de cosmétique, sans aucun rapport avec Decathlon ou VanMoof. Une tactique loufoque, mais régulièrement employée par les arnaqueurs, qui espèrent cacher un vol récurrent d’un faible montant derrière une transaction authentique.

Comment déceler le phishing dès le début ?

Dans un premier temps, il faut se poser des questions sur le fond, et donc sur la situation qui se présente à nous. Decathlon nous proposerait un vélo VanMoof. Si vous vous intéressez un peu aux vélos électriques, vous levez sûrement déjà un sourcil. Mais même si vous ne connaissez pas la marque néerlandaise, vous pouvez rapidement vérifier le lien entre les deux marques. Un rapide tour sur le site de Decathlon permet de conclure que l’enseigne française ne commercialise par ces vélos électriques, et elle n’aurait donc aucun intérêt à les mettre en avant dans un jeu-concours. Bizarre.

Ensuite, l’email précise que le cadeau sera « réservé pendant 5 minutes » et que si on ne le réclame pas, on laissera passer notre chance au profit d’un autre client. C’est une ficelle très courante dans les phishings : les malfrats vous poussent à précipiter vos décisions et à agir dans l’urgence. Ils espèrent qu’ainsi, vous ne prendrez pas le temps de vous poser les bonnes questions sur la situation. Bref, si un email vous impose de réagir dans un délai extrêmement court, il est certainement frauduleux.

Avez-vous vérifié l’adresse derrière le nom ?

Dans un second temps, il faut s’interroger sur la forme. Tous les emails que nous avons reçus ont pour objet «  Merci pour votre numéro de commande [suite de chiffre et de lettre] ». Le tout, précédé de deux smileys. Non seulement nous n’avons rien commandé chez Decathlon, mais en plus, l’objet n’a aucun rapport avec le contenu de l’email, un prétendu jeu-concours. Pour finir, Decathlon n’utilisait pas de smiley dans les emails de confirmations de commandes qui nous avons reçus auparavant.

Ce n’est pas tout : si les emails s’affichent comme provenant de Decathlon, il est possible de vérifier d’un simple clic que l’adresse email derrière cette apparence n’appartient pas à l’enseigne française. Par exemple : « notice@report-tool[.]com » ou encore « dwl755578bsot@webapp.aspiringmail[.]com ». Les malfrats ont tout misé sur l’urgence et ils n’ont pas soigné leur adresse email.

Que se passe-t-il quand on clique sur le phishing ?

Nous avons cliqué sur le lien indiqué dans l’email. Une fausse page Decathlon avec une URL improbable s’ouvre. En bas de page, de faux commentaires Facebook racontent leur chance ou réussite au pseudo-jeu-concours.

L’URL de la page suffit à découvrir le subterfuge. // Source : Capture d’écran Numerama

On nous fait remplir un QCM sous la pression d’un chronomètre qui s’écoule. Homme ou femme  ? Tranche d’âge ? Nombre d’enfants ? Après avoir répondu à ces quelques questions, un message apparaît « Félicitations, nous avons vérifié vos réponses avec succès ». 9 boîtes surprises s’affichent à l’écran, nous cliquons sur l’une d’entre elles. Raté, elle est vide. Mais heureusement, on nous offre une seconde chance et cette fois, nous gagnons.

On a gagné un Van Moof ! ! Wooooo ! (non) // Source : Capture d’écran Numerama

Détail amusant : nous avions rencontré cette exacte même mise en page dans un précédent phishing, où Amazon et un iPhone jouaient le rôle de Decathlon et VanMoof. Ce n’est pas surprenant : les malfrats achètent ou téléchargent des pages de phishings à recopier sur les marchés noirs. Ainsi, ils n’ont pas besoin de développer les pages eux-mêmes (la plupart son incapables de le faire), et ils n’ont qu’à personnaliser le contenu de la page selon leur envie.

Un clic de plus, et nous voilà sur une nouvelle page (encore une fois à une adresse louche) qui affiche en grand le S3 de VanMoof. Juste en dessous se trouve une citation vendeuse — « un iPhone avec des pédales » —  supposément tirée de Süddeutsche Zeitung, un grand quotidien allemand. Ce détail serait le signe que l’arnaque a été traduite dans plusieurs langues.

Toujours faire attention aux écritures en tout petit en haut. // Source : Capture d’écran Numerama

La page nous explique qu’il suffit de payer 2 euros pour récupérer notre gain, et nous demande de remplir un formulaire d’inscription avec notre prénom, nom, adresse, numéro de téléphone et email avant de passer au règlement. Encore une fois, cette étape est soumise à un chronomètre de 5 minutes.

Nous ne passons pas immédiatement au paiement : l’encart écrit en police minuscule en haut de page attire notre attention. Il évoque une « offre spéciale », une « carte cadeau » ou encore un « service d’abonnement ». En descendant en bas de page, le subterfuge se révèle, par une section « Comment l’inscription fonctionne ». Si nous donnons nos informations bancaires, nous signons en fait un abonnement de 37 euros par mois à un site de cosmétique inconnu, créé en 2021 et peut-être factice, appelé MyFaceClub.

On peut bien sûr douter du fait que la résiliation à ce service soit aussi simple que l’affirme le site (ou encore que les montants prélevés soient bien ceux indiqués). Cette fin de parcours est la preuve définitive que ni Decathlon ni VanMoof n’ont un quelconque rapport avec cette campagne.

Que faire si j’ai mordu au phishing ?

  • Vous avez juste cliqué sur le lien ? Aucune crainte à avoir.
  • Vous avez rempli le formulaire d’inscription ? Méfiez-vous des emails et appels que vous allez recevoir dans les jours à venir. Des commerciaux véreux pourraient essayer de vous abonner au service. Respectez quelques mesures d’hygiène n
  • Vous avez donné vos informations bancaires ? Faites opposition sur votre carte bancaire au plus vite. Votre banque a sûrement un numéro de téléphone joignable à toute heure le faire. Si vous relevez une transaction frauduleuse sur le compte, déclarez là sur Perceval, la plateforme publique dédiée au signalement des fraudes bancaires.

Crédit photo de la une : Louise Audry

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux