Un email vous propose d'annuler une commande faite sur la Fnac ou sur Darty avec votre nom ? Faites-y attention, vous pourriez perdre des données personnelles, vos coordonnées bancaires et de l'argent. Cet email de phishing, assez élaboré, détient des informations sur vous.

Si vous avez reçu un email de la Fnac ou de Darty au sujet d’une confirmation de commande que vous n’avez pas passée, faites attention. Une campagne d’hameçonnage récurrente, déjà repérée en 2018 et 2019, joue sur cette peur pour vous soutirer vos données personnelles, ainsi que vos données bancaires. Par exemple, le 25 février 2020, Fabian Rodes a lancé un avertissement :

Un scénario bien travaillé

Voici le scénario : vous recevez une confirmation de commande d’un montant de plus de 500 euros pour des objets hi-tech (téléviseur, smartphone, casque audio…), depuis une adresse email qui finit par « fnac.com ». Le contenu de l’email est également une copie quasi parfaite de ceux de la Fnac (ou de Darty).

Le phishing propose « d’annuler sa commande » et indique la vraie adresse de la personne dans la partie facturation // Source : Numerama

En adresse de facturation, il indique votre vrai nom et votre vraie adresse. En revanche l’adresse de livraison n’est pas la vôtre. Mais revenons au scénario : vous allez perdre beaucoup d’argent à cause de la commande frauduleuse, mais heureusement, l’email vous propose d’annuler votre commande. Si vous cliquez, le piège des arnaqueurs se déploie.

L’objectif : voler vos données personnelles et vos informations bancaires

La première page (dont l’adresse contient fnac.com) sur laquelle vous serez renvoyée affiche un premier formulaire, qui respecte la charte graphique du site de la Fnac. La fausse Fnac vous demande de « vérifier votre adresse ». La plupart des informations (nom, ville, code postal) sont préremplies, mais vous pouvez les modifier, et on vous demande d’indiquer également votre numéro de téléphone. Une fois les informations validées (et donc envoyées dans les bases de données des arnaqueurs), vous serez renvoyés sur une autre page. Avec ces données, les hackers pourront créer un hameçonnage encore plus précis (par exemple contre votre adresse d’entreprise pour déployer un rançongiciel), ou les revendre sur Internet, à d’autres personnes qui les utiliseront à des fins malveillantes.

Nouvelle page, nouveau nom de domaine : la fausse Fnac vous propose enfin de rembourser votre commande, moins des frais de quelques euros.

Top, nous allons pouvoir récupérer nos 980 euros grâce à ce site sécurisé ! // Source : Numerama (remerciement Fabian Rodes)

Pour « prouver que vous êtes titulaire du compte », vous devez « renseigner les données de paiement » : numéro, date d’expiration et cryptogramme de votre carte bancaire. C’est bon : les hackers ont récupéré votre carte bancaire, et peuvent l’utiliser à leurs fins. Le site Zataz, qui avait repéré une version de l’arnaque en 2019, expliquait que dans leur cas, la page pouvait reconnaître l’entrée de fausses informations. Mieux, elle prétendait ensuite envoyer un code SMS de confirmation qui n’arrivait pas.

Un phishing bien ficelé, nourri par vos données

L’email a plusieurs atouts pour vous convaincre.

D’abord, il semble provenir d’une adresse en @fnac.com. Nous en avons trouvé plusieurs exemples : noreply.notification@fnac.com, fnac-clientele-new@fnac.com ou encore validation-commandes-fnac@fnac.com. L’email semblera donc venir de Fnac.com et renverra à un nom de domaine en apparence légitime. Sauf que n’importe quelle personne qui s’y connaît un peu en informatique peut déguiser un message de la sorte. Par exemple, en à peine une minute, nous avons pu nous envoyer cet email :

En une minute, nous avons pu prétendre à un envoi de la part de arnaque@fnac.com, et nous demander de l’argent à nous-mêmes (en anglais, pour faire plus h4ck3r). // Source : Numerama

Si les utilisateurs pensent à vérifier l’adresse de l’envoi, ils ne font pas toujours attention aux autres signaux d’alerte. Par exemple, dans notre cas, le macaron avec le point d’interrogation signifie que le système de sécurité de notre messagerie n’a pas pu confirmer que l’email a bien été envoyé par fnac.com. Les arnaqueurs jouent sur le sentiment d’urgence — des centaines d’euros sont en jeu ! — pour vous détourner de ce genre de signaux d’alerte moins évidents.

Pour être convaincant, le message inclut votre adresse exacte, votre nom exact, et dans certains cas votre numéro de téléphone. Les arnaqueurs ont aussi votre email et savent que vous êtes client de la Fnac, puisqu’ils ont pu vous envoyer ce message sur-mesure. Comment ont-ils mis la main sur vos données ? Une piste vraisemblable mènerait à une fuite des serveurs de Fnac-Darty. Sauf que le groupe a déclaré dans son mail d’avertissement sur la campagne de phishing en juin 2019 que les données utilisées dans ces emails ne proviennent pas de fuites de données de ses systèmes d’information. De même, aucune importante fuite de données n’a été rendue publique. Mais en 2020, les leaks qui permettent d’associer un mail à une adresse physique ne manquent pas.

Enfin, nous avons mis côte à côte le message frauduleux et un vrai message de confirmation de commande. La comparaison est bluffante, à une grosse différence près. L’email officiel vous propose de « suivre votre commande » en cliquant sur un bouton « mon compte ». L’arnaque, elle, vous propose directement un bouton « annuler votre commande ». Plus généralement, les arnaqueurs ont pensé à plusieurs petits détails : les mentions légales sont au bon endroit, les messages de paiement ont de fausses pastilles de sécurité et les menus déroulants peuvent vraiment être déroulés.

Une campagne de phishing récurrente depuis 2018

Nous avons trouvé de premières traces de cette campagne frauduleuse dès avril 2018. Cybermalveillance.gouv.fr, le dispositif national d’assistance aux victimes de cybermalveillance, avait même communiqué sur le sujet :

Le groupe Fnac-Darty avait envoyé à ses clients un message d’avertissement sur cette campagne phishing, comme l’avait repéré BFM en octobre 2018.

Ensuite, une deuxième vague massive d’emails avait visé les clients de Fnac-Darty à l’été 2019. Le groupe avait à nouveau communiqué auprès de ces clients, comme l’avait relevé Zataz. L’email officiel envoyé aux clients rappelait quelques précautions de base et des conseils d’hygiène numérique. Il conseillait aussi aux clients qui avaient mordu au hameçonnage de changer le mot de passe de leur compte et de faire opposition sur leur carte bancaire.

Pour réduire les risques de vous faire arnaquer par ce type d’email, vous pouvez systématiquement privilégier l’utilisation d’un moteur de recherche pour accéder au site d’une entreprise. Vous pourrez ainsi vérifier sur votre compte que la prétendue commande existe vraiment dans votre historique des commandes.

De son côté la Fnac avait indiqué en 2019 qu’elle faisait ce qui était en son pouvoir pour fermer les sites frauduleux qui abusent de son identité.

Crédit photo de la une : Numerama (remerciement Fabian Rodes)

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux