Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser les commentaires pour donner votre avis, ou la page de contact pour nous contacter. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

« Article arrêté en raison de frais de douane » : comment distinguer un vrai SMS d'un phishing ?

Le plus populaire des phishings par SMS, l'arnaque au colis, est de retour en cette fin mai 2021. « Il y a une mise a jour sur votre colis. Article arrete en raison de frais de douane impayes. Resolvez le ici : [lien] » (sic), indique le message que nous avons reçu le 25 mai.

Les malfrats s'appuient un scénario qui a déjà fait ses preuves. Ils prétendent que la douane bloque un de vos colis, car vous n'auriez pas payé les frais d'imports nécessaires. Leur objectif : vous rediriger vers un faux site de paiement, sur lequel ils espèrent récolter vos données personnelles (nom, numéro de téléphone, email) puis vos informations de carte bancaire. Cette fois-ci, ils parlent de « frais de douanes impayés », mais ils peuvent aussi prétendre qu'il n'y a eu « aucun affranchissement ». Ils se font passer pour Colissimo, Chronopost, UPS, DHL... Bref, n'importe quelle entreprise de livraison.

Si ce subterfuge fonctionne aussi bien et est autant utilisé, c'est parce qu'entre la situation sanitaire et l'évolution des pratiques d'achat, il est très probable que vous attendiez un colis. Et surtout, des entreprises comme FedEx envoient de vrais SMS du genre pour des colis envoyés depuis l'international.

Heureusement, avec un œil entrainé, il est plus ou moins facile de distinguer les vrais SMS des SMS de phishing. Voici comment faire.

Vrai SMS ou phishing ?

Le SMS de phishing qui circule en ce moment est bien loin des exemples les plus fins. Résultat : plusieurs détails permettent de détecter facilement qu'il s'agit d'un message malveillant.

À l'inverse, le vrai message de frais de douane de FedEx passe plusieurs vérifications :

Que se passe-t-il quand on clique sur le phishing ?

Après un SMS plutôt mal fait, le phishing redirige vers un site plus réussi, qui appartiendrait à « International Parcel Service », une fausse société copiée sur la charte graphique d'UPS. Nous avions d'ailleurs déjà rencontré un phishing similaire en amont des fêtes de fin d'année 2020. Le site indique que notre livraison est en cours, puis nous précise un numéro de suivi.

Notre colis serait « tenue au dépôt » (sic) pour « droits d'importation impayés ». Le montant de ces « recettes douanières » ? Seulement 2 euros, un montant souvent utilisé par les malfrats, car assez faible pour que leurs victimes ne se posent pas trop de questions sur le paiement.

Après avoir indiqué que nous voulions que le colis soit livré à la maison et en semaine, le site nous informe qu'un rendez-vous a été placé pour le 27/05/2021 entre 8:30 et 18:00, et nous n'avons plus qu'à payer les droits de douane. Une première page nous demande de renseigner nom, prénom, adresse et numéro de téléphone pour la livraison, puis une page de paiement s'ouvre.

En défilant jusqu'en bas de la page -- un espace caché en quelque sorte --, nous apprenons que valider le paiement nous ferait contracter un abonnement à 30 euros par mois. Difficile de savoir si les malfaiteurs aspirent directement les informations bancaires pour les exploiter ou les revendre, ou s'ils ont simplement mis en place un montage financier jouant avec les angles morts du droit pour facturer des frais réguliers. Dans les deux cas, vous perdrez certainement de l'argent.

Si vous avez donné vos informations bancaires, faites opposition sur votre carte bancaire le plus rapidement possible. Si vous avez simplement cliqué sur le phishing sans donner d'information, pas d'inquiétude à avoir. Heureusement, ce phishing s'avère suffisamment grossier pour que peu de victimes tombent dans l'entourloupe. Mais attention, certaines arnaques aux colis sont plus redoutables que celles-ci. Redoublez donc de vigilance et posez-vous les bonnes questions avant de cliquer sur un lien.