« Article arrêté en raison de frais de douane » : comment distinguer un vrai SMS d'un phishing ?
Le plus populaire des phishings par SMS, l'arnaque au colis, est de retour en cette fin mai 2021. « Il y a une mise a jour sur votre colis. Article arrete en raison de frais de douane impayes. Resolvez le ici : [lien] » (sic), indique le message que nous avons reçu le 25 mai.
Les malfrats s'appuient un scénario qui a déjà fait ses preuves. Ils prétendent que la douane bloque un de vos colis, car vous n'auriez pas payé les frais d'imports nécessaires. Leur objectif : vous rediriger vers un faux site de paiement, sur lequel ils espèrent récolter vos données personnelles (nom, numéro de téléphone, email) puis vos informations de carte bancaire. Cette fois-ci, ils parlent de « frais de douanes impayés », mais ils peuvent aussi prétendre qu'il n'y a eu « aucun affranchissement ». Ils se font passer pour Colissimo, Chronopost, UPS, DHL... Bref, n'importe quelle entreprise de livraison.
Si ce subterfuge fonctionne aussi bien et est autant utilisé, c'est parce qu'entre la situation sanitaire et l'évolution des pratiques d'achat, il est très probable que vous attendiez un colis. Et surtout, des entreprises comme FedEx envoient de vrais SMS du genre pour des colis envoyés depuis l'international.
Heureusement, avec un œil entrainé, il est plus ou moins facile de distinguer les vrais SMS des SMS de phishing. Voici comment faire.
Vrai SMS ou phishing ?
Le SMS de phishing qui circule en ce moment est bien loin des exemples les plus fins. Résultat : plusieurs détails permettent de détecter facilement qu'il s'agit d'un message malveillant.
Le SMS est envoyé depuis un numéro en 06, ce que ne feront jamais les entreprises de livraison. À la place elles afficheront leur nom d'entreprise, ou elles utiliseront un numéro court à 4 ou 6 chiffres. Mais attention, un malfrat peut facilement usurper l'affichage d'un nom d'entreprise ou d'un numéro utilisé par l'entreprise. Autrement dit, l'utilisation d'un numéro de portable classique pour l'envoi de ce genre de message est une preuve de la supercherie, mais l'utilisation du nom d'entreprise ou d'un numéro court n'est pas une preuve de l'authenticité du SMS.
Le texte ne comporte aucun accent, et sa construction ne semble pas naturelle, comme si elle avait été traduite depuis une autre langue. Pour cause : généralement les malfrats prennent des modèles de phishing déjà existants, et les adaptent au pays qu'ils souhaitent viser, ce qui mène à des traductions ratées ou à des oublis de ponctuation. Si un SMS prétendument envoyé par une entreprise présente des fautes de grammaire, n'y faites jamais confiance.
Le nom de domaine « arubez.co » est le plus gros signal d'alerte du message, puisqu'il ne correspond à aucune entreprise officielle d'un site de livraison. Dans des phishings mieux pensés, les malfrats cachent l'adresse de destination du lien derrière un raccourcisseur comme Bit.ly ou Bit.do. Ou alors, ils font appel au typosquatting, une technique qui consiste à tromper le destinataire avec un nom de domaine proche du nom de domaine officiel. Par exemple : « collissimo-laposte.net » ou « fedex-livraison.com ».
L'adresse de destination commence par « http » et non « https », ce qui signifie que vos interactions avec le site (la saisie d'informations personnelles, par exemple) seront mal protégées. Attention : ni le « http » ni le « https » n'indiquent la bienveillance ou la malveillance du propriétaire du site.
À l'inverse, le vrai message de frais de douane de FedEx passe plusieurs vérifications :
Le SMS s'affiche comme provenant de « FedEx ». Attention cependant, ce pourrait être une usurpation.
La grammaire du message est impeccable. Encore une fois, ce n'est pas une garantie de l'authenticité du SMS, mais c'est un bon signe.
Le lien, « dutyandtax.fedex.com » affiché en entier, est l'ultime preuve qu'il s'agit d'un message authentique. Une rapide recherche sur un moteur de recherche permet de voir que le nom de domaine officiel de FedEx est fedex.com. Le lien du message est un sous-domaine du site officiel de FedEx, d'où la séparation par un point entre « dutyandtax » et « fedex.com ». À noter, les sous-domaines ne sont séparés que par un point. Notre site, cyberguerre.numerama.com en est un bon exemple : Cyberguerre est un sous-domaine de Numerama. Attention, certains malfrats utilisent un tiret « - » pour piéger leurs victimes sur cette histoire de sous-domaine. Or, un éventuel « dutyandtax-fedex.com » serait une adresse entièrement à part, sans rapport avec fedex.com.
Que se passe-t-il quand on clique sur le phishing ?
Après un SMS plutôt mal fait, le phishing redirige vers un site plus réussi, qui appartiendrait à « International Parcel Service », une fausse société copiée sur la charte graphique d'UPS. Nous avions d'ailleurs déjà rencontré un phishing similaire en amont des fêtes de fin d'année 2020. Le site indique que notre livraison est en cours, puis nous précise un numéro de suivi.
Notre colis serait « tenue au dépôt » (sic) pour « droits d'importation impayés ». Le montant de ces « recettes douanières » ? Seulement 2 euros, un montant souvent utilisé par les malfrats, car assez faible pour que leurs victimes ne se posent pas trop de questions sur le paiement.
Après avoir indiqué que nous voulions que le colis soit livré à la maison et en semaine, le site nous informe qu'un rendez-vous a été placé pour le 27/05/2021 entre 8:30 et 18:00, et nous n'avons plus qu'à payer les droits de douane. Une première page nous demande de renseigner nom, prénom, adresse et numéro de téléphone pour la livraison, puis une page de paiement s'ouvre.
En défilant jusqu'en bas de la page -- un espace caché en quelque sorte --, nous apprenons que valider le paiement nous ferait contracter un abonnement à 30 euros par mois. Difficile de savoir si les malfaiteurs aspirent directement les informations bancaires pour les exploiter ou les revendre, ou s'ils ont simplement mis en place un montage financier jouant avec les angles morts du droit pour facturer des frais réguliers. Dans les deux cas, vous perdrez certainement de l'argent.
Si vous avez donné vos informations bancaires, faites opposition sur votre carte bancaire le plus rapidement possible. Si vous avez simplement cliqué sur le phishing sans donner d'information, pas d'inquiétude à avoir. Heureusement, ce phishing s'avère suffisamment grossier pour que peu de victimes tombent dans l'entourloupe. Mais attention, certaines arnaques aux colis sont plus redoutables que celles-ci. Redoublez donc de vigilance et posez-vous les bonnes questions avant de cliquer sur un lien.