Un SMS vous indique de payer 2 euros pour valider une livraison de colis ? Ignorez-le, c'est un phishing.

En ce début décembre, vous attendez sûrement l’arrivée de vos commandes du Black Friday ou de vos cadeaux de Noël impatiemment. Les cybercriminels le savent, et ils ont ressorti un phishing récurrent que l’on pourrait presque qualifier de « classique » : l’arnaque à l’affranchissement.

Message reçu vendredi 4 décembre par la rédaction de Cyberguerre. // Source : Capture d’écran Cyberguerre

Nous vous prévenions de la version usurpant l’identité de la Poste la semaine dernière. Cette fois, c’est l’identité du service de livraison américain UPS qui est utilisée, avec le même cheminement. Ce phishing, un SMS reçu par Cyberguerre, est simple, très bien rodé, et surtout, les pirates se sont appliqués sur sa mise en page. Nous sommes allés jusqu’au bout de l’arnaque, afin de détailler les ficelles utilisées par les pirates, et comment les éviter.

Oh non, mon colis n’a pas pu être livré

« Nous avons essayé de livrer votre colis », pouvons-nous lire à l’ouverture du SMS. Un livreur aurait-il fait preuve d’impatience alors que nous étions chez nous ? Pas vraiment : le message, qui indique un numéro de commande composé de 14 chiffres et lettres, précise qu’il n’y a pas « d’affranchissement ». Autrement dit, il manquerait des timbres sur le colis, ce qui justifierait la non-livraison. Heureusement, le SMS nous propose des instructions et présente un lien à cliquer.

C’est un lien raccourci grâce au service bit.do, de sorte à cacher l’adresse du site de destination. Cette ficelle est courante, et a récemment été utilisée dans le faux SMS du gouvernement sur TousAntiCovid. Problème : bit.do, tout comme bitly, est aussi utilisé dans des SMS légitimes envoyés par des entreprises qui cherchent à simplement réduire le nombre de caractères de leurs messages. Autant dire que les utilisateurs se sont habitués à recevoir ce genre de lien raccourcis sans forcément s’en méfier.

Habitués à repérer les phishing nous regardons de plus près le message. Outre l’étrangeté de la situation, l’émetteur du SMS paraît être un numéro en 06, que n’utiliserait pas UPS. Entre la source du message et l’utilisation de bit.do nous flairons déjà l’arnaque. Mais nous cliquons.

Qu’il est bien fait le site d’UPS quand même

Nous sommes redirigés vers une page web aux couleurs d’UPS. Un message nous propose de « suivre notre colis », nous cliquons. La page nous donne le statut du prétendu colis : il serait retenu au dépôt à cause des « droits d’importation non payés ». Il nous propose de planifier la livraison de ce mystérieux colis international en s’acquittant de la modique somme de 2 euros. C’est étrange… Et c’est justement à ce moment qu’il est le plus évident de repérer l’arnaque. Si un message vous parait suspect, il y a sûrement de bonnes raisons, faites-vous confiance. C’est en relisant le message que nous avions parcouru en diagonale que nous repérons de nombreuses fautes de grammaire, et des mots étrangement placés.

Le phishing est très bien présenté, mais il est truffé de fautes de grammaire. // Source : Montage Numerama

Un petit coup d’œil à l’URL du site, que nous avions ignorée jusqu’ici, nous met en garde : tracefr[.]processingupdates[.]club. Nous ne connaissons pas par cœur le nom de domaine de UPS, mais nous pouvons être sûrs que ce n’est pas celui-là. En continuant le processus de validation du site, les petits détails problématiques se multiplient : la page de confirmation, par exemple, affiche un « r » à l’envers sur le mot « payer ».

Comment ça 256 Go ? J’étais là pour une livraison

Après avoir accepté l’idée de payer de faux frais de douanes, nous sommes envoyés sur un formulaire de paiement. Il demande les informations habituelles : nom, adresse, email… Mais deux détails paraissent louches. Déjà, l’URL est encore plus que suspecte. Ensuite, il est écrit au-dessus du formulaire « 256 Go » et « Graphite ». Un espace de stockage, et une couleur…

Le formulaire de paiement paraît classique à deux grosses exceptions près. // Source : Numerama

En faisant défiler la page vers le bas, nous réalisons que nous sommes sur une fausse page de vente de l’iPhone 12. Nous aurions déjà dû quitter l’arnaque au tout début, et il n’en faut pas plus pour que nous quittions son scénario. Les pirates cherchent vraisemblablement à récupérer des données personnelles et informations bancaires, qu’ils pourront revendre ou utiliser à leur profit. À moins que l’arnaque ne consiste qu’à simplement facturer un faux produit ou service.

Un petit scroll vers le bas et… surprise ! // Source : Numerama

Dans tous les cas, rien à voir avec un colis. Que retirer de cette petite aventure ? Posez-vous les questions à la moindre suspicion, et prenez votre temps. Même si le cheminement du phishing paraît grossier, dans la précipitation, n’importe qui peut se faire piéger par un phishing.

Crédit photo de la une : CCO/Pxhere

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux