En ce début décembre, vous attendez sûrement l’arrivée de vos commandes du Black Friday ou de vos cadeaux de Noël impatiemment. Les cybercriminels le savent, et ils ont ressorti un phishing récurrent que l’on pourrait presque qualifier de « classique » : l’arnaque à l’affranchissement.
Message reçu vendredi 4 décembre par la rédaction de Cyberguerre. // Source : Capture d’écran Cyberguerre
Nous vous prévenions de la version usurpant l’identité de la Poste la semaine dernière. Cette fois, c’est l’identité du service de livraison américain UPS qui est utilisée, avec le même cheminement. Ce phishing, un SMS reçu par Cyberguerre, est simple, très bien rodé, et surtout, les pirates se sont appliqués sur sa mise en page. Nous sommes allés jusqu’au bout de l’arnaque, afin de détailler les ficelles utilisées par les pirates, et comment les éviter.
Oh non, mon colis n’a pas pu être livré
« Nous avons essayé de livrer votre colis », pouvons-nous lire à l’ouverture du SMS. Un livreur aurait-il fait preuve d’impatience alors que nous étions chez nous ? Pas vraiment : le message, qui indique un numéro de commande composé de 14 chiffres et lettres, précise qu’il n’y a pas « d’affranchissement ». Autrement dit, il manquerait des timbres sur le colis, ce qui justifierait la non-livraison. Heureusement, le SMS nous propose des instructions et présente un lien à cliquer.
C’est un lien raccourci grâce au service bit.do, de sorte à cacher l’adresse du site de destination. Cette ficelle est courante, et a récemment été utilisée dans le faux SMS du gouvernement sur TousAntiCovid. Problème : bit.do, tout comme bitly, est aussi utilisé dans des SMS légitimes envoyés par des entreprises qui cherchent à simplement réduire le nombre de caractères de leurs messages. Autant dire que les utilisateurs se sont habitués à recevoir ce genre de lien raccourcis sans forcément s’en méfier.
Habitués à repérer les phishing nous regardons de plus près le message. Outre l’étrangeté de la situation, l’émetteur du SMS paraît être un numéro en 06, que n’utiliserait pas UPS. Entre la source du message et l’utilisation de bit.do nous flairons déjà l’arnaque. Mais nous cliquons.
Qu’il est bien fait le site d’UPS quand même
Nous sommes redirigés vers une page web aux couleurs d’UPS. Un message nous propose de « suivre notre colis », nous cliquons. La page nous donne le statut du prétendu colis : il serait retenu au dépôt à cause des « droits d’importation non payés ». Il nous propose de planifier la livraison de ce mystérieux colis international en s’acquittant de la modique somme de 2 euros. C’est étrange… Et c’est justement à ce moment qu’il est le plus évident de repérer l’arnaque. Si un message vous parait suspect, il y a sûrement de bonnes raisons, faites-vous confiance. C’est en relisant le message que nous avions parcouru en diagonale que nous repérons de nombreuses fautes de grammaire, et des mots étrangement placés.
Le phishing est très bien présenté, mais il est truffé de fautes de grammaire. // Source : Montage Numerama
Un petit coup d’œil à l’URL du site, que nous avions ignorée jusqu’ici, nous met en garde : tracefr[.]processingupdates[.]club. Nous ne connaissons pas par cœur le nom de domaine de UPS, mais nous pouvons être sûrs que ce n’est pas celui-là. En continuant le processus de validation du site, les petits détails problématiques se multiplient : la page de confirmation, par exemple, affiche un « r » à l’envers sur le mot « payer ».
Comment ça 256 Go ? J’étais là pour une livraison
Après avoir accepté l’idée de payer de faux frais de douanes, nous sommes envoyés sur un formulaire de paiement. Il demande les informations habituelles : nom, adresse, email… Mais deux détails paraissent louches. Déjà, l’URL est encore plus que suspecte. Ensuite, il est écrit au-dessus du formulaire « 256 Go » et « Graphite ». Un espace de stockage, et une couleur…
Le formulaire de paiement paraît classique à deux grosses exceptions près. // Source : Numerama
En faisant défiler la page vers le bas, nous réalisons que nous sommes sur une fausse page de vente de l’iPhone 12. Nous aurions déjà dû quitter l’arnaque au tout début, et il n’en faut pas plus pour que nous quittions son scénario. Les pirates cherchent vraisemblablement à récupérer des données personnelles et informations bancaires, qu’ils pourront revendre ou utiliser à leur profit. À moins que l’arnaque ne consiste qu’à simplement facturer un faux produit ou service.
Un petit scroll vers le bas et… surprise ! // Source : Numerama
Dans tous les cas, rien à voir avec un colis. Que retirer de cette petite aventure ? Posez-vous les questions à la moindre suspicion, et prenez votre temps. Même si le cheminement du phishing paraît grossier, dans la précipitation, n’importe qui peut se faire piéger par un phishing.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
