«Livraison impossible!»: c'est ainsi que commencent de nombreux messages, prétendument envoyés par La Poste ou DPD. En réalité, ils proviennent d'escrocs. Le stratagème est ancien, mais l'Office fédéral de la cybersécurité (OFCS) a signalé une forte augmentation de tentatives d'hameçonnage de ce type ces derniers jours.
Les cybercriminels se rabattent cependant sur d'autres canaux: iMessage d'Apple et le service RCS d'Android. Dans les deux cas, les messages sont envoyés à la victime via l'application standard de son téléphone, car contrairement aux SMS classiques, iMessage et RCS sont cryptés de bout en bout. Il s'agit d'un véritable avantage en matière de confidentialité. Or, c'est précisément ce que les cybercriminels exploitent. Les opérateurs mobiles ne peuvent pas filtrer les messages: ils arrivent donc directement sur le téléphone portable des victimes.
Nouveaux canaux, vieille arnaque
Au lieu d'un numéro anonyme, un nom apparaît comme expéditeur: «Informations de livraison postale». Ce faisant, les escrocs ajoutent les victimes potentielles à un groupe. «Cela paraît plus légitime qu'un simple message provenant d'un numéro étranger inconnu, ce qui donne plutôt confiance», explique l'OFCS. D'autant plus que pour déjouer les mécanismes de sécurité intégrés aux téléphones, les expéditeurs demandent de répondre au message avec un «Y». Résultat: le système interprète la réponse comme une preuve de confiance. Après quoi, le lien malveillant devient actif. Le stratagème est particulièrement perfide: «Les pirates incitent leurs victimes à désactiver leur propre sécurité», prévient l'OFCS.
Quiconque clique sur le lien atterrit sur de faux sites web, appartenant a priori à La Poste ou à DPD. Ils y demandent des informations bancaires ou des identifiants de connexion, soi-disant pour des frais de réexpédition. C'est là qu'il faut tirer la sonnette d'alarme.
Les malfaiteurs utilisent des astuces bien connues, mais plus sophistiquées. Tout le stratagème est conçu pour manipuler les victimes. En effet, les escrocs misent sur le principe d'autorité, en utilisant le nom de marques ou logos familiers, explique l'OFCS. Ils créent ainsi une pression temporelle: «Echec de la livraison», «Réponse dans les 24 heures»... Les individus stressés réfléchissent moins et sont plus susceptibles de tomber dans le piège.
Comment se protéger?
L'OFCS recommande de systématiquement se méfier des messages de colis, même dans l'attente éventuelle d'une livraison. Mais il ne faut ni ouvrir les liens contenus dans ces messages, ni y répondre – même par «STOP», car cela signale aux escrocs que le numéro est actif. Il est préférable de supprimer immédiatement le message et de bloquer le numéro de l'expéditeur.
Toute personne souhaitant vérifier l'état d'une livraison doit manuellement consulter le site officiel de La Poste ou de DPD dans son navigateur, et y saisir le numéro d'envoi du colis. Il est également important de maintenir le système d'exploitation ainsi que les applications à jour, et d'activer un bloqueur tiers auprès de son opérateur mobile pour éviter les pièges liés aux abonnements.
Les personnes qui ont déjà divulgué des données via cette arnaque doivent rapidement contacter leur établissement financier, faire bloquer les cartes et porter plainte auprès de la police. La meilleure défense est donc de rester méfiant et de ne jamais cliquer sur les liens.
