L'histoire commence comme un film d'horreur. La nuit, des escrocs sans scrupules rôdent dans les quartiers. Ils glissent de faux avis de passage dans les boîtes aux lettres. Derrière un simple QR code se cache un dispositif capable de subtiliser les informations bancaires en un instant. Un geste banal et le piège est en marche.
Début juin, Blick avertissait déjà de plusieurs cas dans le canton de Genève. Désormais, l’Office fédéral de la cybersécurité (OFCS) met en garde contre cette nouvelle arnaque, qui combine des méthodes analogiques et numériques.
Le fonctionnement est simple, mais pernicieux. Les victimes trouvent dans leur boîte aux lettres un coupon jaune qui ressemble à s'y méprendre à un véritable avis de passage de La Poste: le logo, les couleurs et le design sont authentiques au premier coup d'œil. L'avis indique qu'un colis n'a pas pu être livré. Pour programmer la nouvelle livraison, les destinataires sont invités à scanner le QR code frauduleux.
De faux frais de traitement
Mais attention, c’est précisément là que l'arnaque commence. Le QR code redirige vers un faux site web quasiment identique à celui des services postaux. On y prétend que l’envoi du paquet est bloqué et qu'une nouvelle livraison doit être programmée. Dans un premier temps, les victimes peuvent donc choisir une nouvelle date de livraison. Une étape qui ne sert qu'à gagner leur confiance, selon l'OFCS.
Ensuite, de nombreuses informations personnelles sont demandées: nom, adresse, date de naissance, adresse e-mail et numéro de téléphone. C'est là que le piège se referme. Des frais de traitement sont exigés pour la prétendue seconde tentative de livraison. Le montant semble anodin – généralement 2,10 francs, parfois 3,99 francs. L'arnaque repose justement sur ce détail: les escrocs espèrent que les victimes ne se méfieront pas d'un montant aussi modeste.
À l’affût des données de carte bancaire
Le paiement s'effectue exclusivement par carte bancaire. Bien que d'autres moyens de paiement, comme Twint, soient aussi affichés sur le site, ils sont en réalité inutilisables. En réalité, les criminels ne visent pas ces deux francs. Leur objectif est d'obtenir les données des cartes bancaires, afin de dérober ultérieurement des sommes bien plus importantes. De plus, les auteurs de ces agissements collectent de nombreuses informations personnelles pouvant servir à l’usurpation d’identité.
L’Office fédéral de la cybersécurité recommande la prudence: La Poste ne facture normalement aucun frais pour une deuxième livraison. Si vous recevez une telle demande, ne scannez pas le QR code, mais vérifiez le numéro d'envoi directement sur le site ou l'application de La Poste. Si vous avez déjà saisi des données, contactez immédiatement votre banque ou son organisme de carte de crédit, afin de faire bloquer la carte.
