« Le prix d’aujourd’hui est un vélo VanMoof S3 », ou encore « Votre chance de recevoir un VanMoof S3 Bike Gratuit » : de curieux mails, arborant les couleurs et le logo de Decathlon, ont été reçus par de nombreux Françaises et Français en cette fin septembre 2021. Cyberguerre a pu observer plusieurs versions de ce mail, toutes très semblables, mais légèrement différentes. Ils nous informent tous que nous sommes les heureux gagnants d’un vélo électrique VanMoof : nous ferions partie « des 10 utilisateurs choisis au hasard chaque mois » par l’enseigne française pour « leur donner la chance de gagner de fabuleux prix ».
En bas du message, il est également indiqué à chaque fois que l’offre serait « réservée » à notre adresse email. Quel joli cadeau ! VanMoof a sa place parmi les marques de vélo électrique de référence, et le S3, un modèle haut de gamme, coûte 1 998 €. Malheureusement, comme souvent, lorsque la situation est trop belle pour être vraie… c’est qu’elle est fausse. Vous vous en doutiez en cliquant sur l’article, nous pouvons vous le confirmer : il s’agit d’un email de phishing. Il semblerait de plus qu’une large campagne de phishing soit en ce moment en cours, de nombreuses personnes ayant indiqué à Cyberguerre avoir reçu un mail similaire.
Ce n’est pas la première fois qu’une campagne de phishing concernant Decathlon et les vélos Van Moof circule. Cyberguerre avait ainsi pu repéré il y a quelques mois que différentes versions de l’email existaient, et que la page de destination et la finalité de la manipulation pouvaient diverger d’un cas à l’autre. Nous avions également pu observer que bon nombre de pages malveillantes avaient rapidement été supprimées, parfois dès le lendemain de l’attaque.
Il n’en reste pas moins qu’il faut toujours faire très attention à ce type de phishing. Les fautes d’orthographe et les incohérences dans le texte ne sautent pas toujours aux yeux, surtout lorsqu’on nous promet de gagner un vélo d’une valeur de plus d’un millier d’euros, et que nous sommes pressés. Et les erreurs peuvent couter cher : dans l’exemple que nous avons remonté jusqu’au bout, les malfaiteurs piègent les victimes en les poussant à s’abonner à un service de cosmétique, sans aucun rapport avec Decathlon ou VanMoof. Une tactique loufoque, mais régulièrement employée par les arnaqueurs, qui espèrent cacher un vol récurrent d’un faible montant derrière une transaction authentique.
Comment déceler le phishing dès le début ?
Dans un premier temps, il faut se poser des questions sur le fond, et donc sur la situation qui se présente à nous. Decathlon nous proposerait un vélo VanMoof. Si vous vous intéressez un peu aux vélos électriques, vous levez sûrement déjà un sourcil. Mais même si vous ne connaissez pas la marque néerlandaise, vous pouvez rapidement vérifier le lien entre les deux marques. Un rapide tour sur le site de Decathlon permet de conclure que l’enseigne française ne commercialise par ces vélos électriques, et elle n’aurait donc aucun intérêt à les mettre en avant dans un jeu-concours. Bizarre.
Ensuite, l’email précise que le cadeau sera « réservé pendant 5 minutes » et que si on ne le réclame pas, on laissera passer notre chance au profit d’un autre client. C’est une ficelle très courante dans les phishings : les malfrats vous poussent à précipiter vos décisions et à agir dans l’urgence. Ils espèrent qu’ainsi, vous ne prendrez pas le temps de vous poser les bonnes questions sur la situation. Bref, si un email vous impose de réagir dans un délai extrêmement court, il est certainement frauduleux.
Avez-vous vérifié l’adresse derrière le nom ?
Dans un second temps, il faut s’interroger sur la forme. Tous les emails que nous avons reçus ont pour objet « Merci pour votre numéro de commande [suite de chiffre et de lettre] ». Le tout, précédé de deux smileys. Non seulement nous n’avons rien commandé chez Decathlon, mais en plus, l’objet n’a aucun rapport avec le contenu de l’email, un prétendu jeu-concours. Pour finir, Decathlon n’utilisait pas de smiley dans les emails de confirmations de commandes qui nous avons reçus auparavant.
Ce n’est pas tout : si les emails s’affichent comme provenant de Decathlon, il est possible de vérifier d’un simple clic que l’adresse email derrière cette apparence n’appartient pas à l’enseigne française. Par exemple : « notice@report-tool[.]com » ou encore « [email protected][.]com ». Les malfrats ont tout misé sur l’urgence et ils n’ont pas soigné leur adresse email.
Que se passe-t-il quand on clique sur le phishing ?
Nous avons cliqué sur le lien indiqué dans l’email. Une fausse page Decathlon avec une URL improbable s’ouvre. En bas de page, de faux commentaires Facebook racontent leur chance ou réussite au pseudo-jeu-concours.
On nous fait remplir un QCM sous la pression d’un chronomètre qui s’écoule. Homme ou femme ? Tranche d’âge ? Nombre d’enfants ? Après avoir répondu à ces quelques questions, un message apparaît « Félicitations, nous avons vérifié vos réponses avec succès ». 9 boîtes surprises s’affichent à l’écran, nous cliquons sur l’une d’entre elles. Raté, elle est vide. Mais heureusement, on nous offre une seconde chance et cette fois, nous gagnons.
Détail amusant : nous avions rencontré cette exacte même mise en page dans un précédent phishing, où Amazon et un iPhone jouaient le rôle de Decathlon et VanMoof. Ce n’est pas surprenant : les malfrats achètent ou téléchargent des pages de phishings à recopier sur les marchés noirs. Ainsi, ils n’ont pas besoin de développer les pages eux-mêmes (la plupart sont incapables de le faire), et ils n’ont qu’à personnaliser le contenu de la page selon leur envie.
Un clic de plus, et nous voilà sur une nouvelle page (encore une fois à une adresse louche) qui affiche en grand le S3 de VanMoof. Juste en dessous se trouve une citation vendeuse — « un iPhone avec des pédales » — supposément tirée de Süddeutsche Zeitung, un grand quotidien allemand. Ce détail serait le signe que l’arnaque a été traduite dans plusieurs langues.
La page nous explique qu’il suffit de payer 2 euros pour récupérer notre gain, et nous demande de remplir un formulaire d’inscription avec notre prénom, nom, adresse, numéro de téléphone et email avant de passer au règlement. Encore une fois, cette étape est soumise à un chronomètre de 5 minutes.
Nous ne passons pas immédiatement au paiement : l’encart écrit en police minuscule en haut de page attire notre attention. Il évoque une « offre spéciale », une « carte cadeau » ou encore un « service d’abonnement ». En descendant en bas de page, le subterfuge se révèle, par une section « Comment l’inscription fonctionne ». Si nous donnons nos informations bancaires, nous signons en fait un abonnement de 37 euros par mois à un site de cosmétique inconnu, créé en 2021 et peut-être factice, appelé MyFaceClub.
On peut bien sûr douter du fait que la résiliation à ce service soit aussi simple que l’affirme le site (ou encore que les montants prélevés soient bien ceux indiqués). Cette fin de parcours est la preuve définitive que ni Decathlon ni VanMoof n’ont un quelconque rapport avec cette campagne.
Que faire si j’ai mordu au phishing ?
- Vous avez juste cliqué sur le lien ? Aucune crainte à avoir.
- Vous avez rempli le formulaire d’inscription ? Méfiez-vous des emails et appels que vous allez recevoir dans les jours à venir. Des commerciaux véreux pourraient essayer de vous abonner au service. Respectez quelques mesures d’hygiène n
- Vous avez donné vos informations bancaires ? Faites opposition sur votre carte bancaire au plus vite. Votre banque a sûrement un numéro de téléphone joignable à toute heure le faire. Si vous relevez une transaction frauduleuse sur le compte, déclarez la sur Perceval, la plateforme publique dédiée au signalement des fraudes bancaires.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.