Arnaque – Tentative de phishing dans les boîtes aux lettres – Actualité
Un avis de passage falsifié aux couleurs de la Poste renvoyé, via un QR code, vers un site frauduleux. Cette escroquerie, d’abord physique ensuite en ligne, vise à soutirer aux victimes des informations personnelles, dont leurs coordonnées bancaires.
Le tweet a très vite fait le tour de la Toile : l’internaute y affiche un avis de passage qu’il a reçu dans sa boîte aux lettres.
Le document présenté est supposé : affublé des couleurs de la Poste, d’un numéro de suivi d’une lettre supposée recommandée, il est également doté d’un code QR (ou du « lien de suivi » afférent, une très longue url) . Ce dernier est censé permettre de « confirmer la re-livraison de votre lettre ». C’est là que se situe l’arnaque. Lorsque l’on scanne le QR code, on atterrit sur un faux site de la Poste, qui vous demande de rentrer vos coordonnées bancaires afin de régler les frais d’expédition.
Cette arnaque est à la fois innovante – un document physique est à l’origine d’une attaque de phishing – et d’autant plus trompeuse que l’url contenue dans le QR code appartient bien à la société publique. Les escrocs ont procédé à une redirection automatique vers un site illicite reprenant les couleurs de la Poste, comme l’indique Signal-arnaques.com.
Nous avons retesté ce QR code depuis : la Poste a fait le nécessaire, l’url renvoyée désormais vers la page d’accueil de son site officiel (laposte.fr).
Phishing : comment ne pas tomber dans le piège
Les tentatives de phishing (ou hameçonnage) foisonnent sur Internet. Les escrocs ne cessent de renouveler et de diversifier leurs méthodes. Les motifs différents (gain d’argent, faux messages d’une administration, soucis financiers…), mais les ressorts pour une « bonne » arnaque sont peu nombreux : la peur, l’urgence, une heureuse nouvelle…
Avec cet appât du faux avis de passage, les personnes malades sont compétentes sur le fait que le destinataire sera inquiet, et donc pressé, de connaître le contenu du pli recommandé. Le document déposé dans la boîte aux lettres, bien imité, ainsi que l’adresse url qui commence par « laposte.fr », devrait mettre en confiance la future victime.
Certains détails (comme l’expression « re-livraison » qui n’est pas français, la très longue url) éveillent les soupçons. En cas de doute, un appel à son bureau de poste permet d’éviter de se faire escroquer. Comparer le document reçu avec un vrai avis de passage lèvera aussi le doute.
De manière générale, quelques bons réflexes évitent d’être victime de ces pièges : si une annonce est trop belle pour être vraie, méfiez-vous et renseignez-vous sur la véracité de l’information, en appelant un organisme officiel, en lisant des avis ou actualités sur Internet… De plus, ne transmettez pas vos données personnelles sur un site que vous ne connaissez pas, sachant qu’une administration, une banque ou un autre organisme ne vous demandera pas ces renseignements en ligne.