ces arnaques qui fleurissent à l’approche de Noël

Le Figaro vous aide à identifier les techniques de phishing les plus courantes et vous adresse quelques conseils avant d’effectuer vos achats en ligne.

Gare aux tentatives d’hameçonnage (phishing en anglais) ! L’augmentation du nombre d’achats à l’approche des fêtes multiplie les risques de tomber dans les filets de cybercriminels, qui intensifient les tentatives de phishing. Leur objectif : dérober des informations personnelles et de carte bancaire pour des usages frauduleux. Trois techniques sont particulièrement prisées : l’arnaque à la livraison de colis, celle au remboursement inattendu et celle à la fausse commande. Apprenez à les identifier, pour mieux les éviter.

L’arnaque à la livraison de colis

À l’approche des fêtes, vous êtes sûrement en attente d’un colis, ou peut-être même en avez-vous vous-même envoyé un. Dans ce cas, vous êtes une cible de choix pour les cybercriminels. Ces derniers peuvent essayer de vous piéger en vous envoyant un SMS ou un e-mail qui semble provenir d’un service de livraison comme La Poste, Colissimo, DPD, Chronopost, UPS, etc., vous annonçant qu’un colis doit vous être livré mais qu’il reste à payer une somme d’argent pour le faire arriver à destination. Le motif annoncé peut être par exemple celui d’une absence d’affranchissement, de frais de port ou d’expédition restant dus, etc. Pour que le message paraisse crédible, le montant réclamé est souvent à hauteur de quelques euros seulement. Généralement, le message mentionne un délai très court pour effectuer le paiement, afin de priver la victime du temps de la réflexion. Il contient un lien que vous êtes invité à suivre pour payer. Vous êtes alors dirigé vers un site Internet aux couleurs de l’entreprise de livraison usurpée.

Il est important de vous méfier avant d’ouvrir le lien car les sites vers lesquels on cherche à vous diriger imitent à s’y méprendre les véritables sites de ces entreprises de livraison. «C’est toujours suspect d’avoir un lien dans un SMS ou un mail. Allez plutôt regarder sur le site du transporteur, mais sans passer par ce lien, s’il est question de ces instructions» explique Jean-Jacques Latour, responsable expertise cybersécurité chez Cybermalveillance.gouv.fr. Si vous avez cliqué sur une pièce jointe ou sur un lien contenu dans le message, un programme malveillant a pu être installé. Mettez à jour votre antivirus et effectuez une analyse complète de votre appareil afin de vérifier qu’il n’est infecté par aucun virus. N’oubliez pas de signaler le numéro du SMS ou l’adresse email de l’expéditeur du message sur les plateformes internet dédiées (dans le premier cas au 33700, sur Signal Spam dans le second), et signalez la tentative d’escroquerie sur la plateforme dédiée du ministère de l’Intérieur : Internet-signalement.gouv.fr.

L’arnaque au remboursement inattendu

Qu’est-ce qui vous ferait plus plaisir que d’apprendre un remboursement à venir que vous n’aviez pas prévu ? De quoi oublier toute méfiance… Et les cybercriminels le savent bien ! Certains n’hésitent pas à envoyer des messages aux couleurs de la Direction Générale des Finances Publiques ou de l’Assurance Maladie (ou sa plateforme internet Améli) pour vous informer d’une soi-disant rentrée d’argent en attente sur votre compte bancaire. «Le montant du remboursement ne correspond pas à un chiffre rond afin de faire plus crédible» explique Jean-Jacques Latour. Ces messages vous invitent à renseigner vos informations personnelles voire de carte bancaire afin de finaliser ce remboursement. Dans certaines variantes, le message indique que le remboursement n’a pas pu être effectué en raison d’un problème détecté dans l’espace personnel du compte Ameli de la victime (un problème de numéro de téléphone par exemple). Le message reçu contient un lien que la victime est invitée à suivre pour réaliser les démarches demandées.

Là encore, ne fournissez jamais les éléments demandés sans avoir vérifié l’information par vous-même ! Si effectivement une action est requise de votre part vis-à-vis de l’administration fiscale, vous retrouverez cette information dans votre espace privé sur le site www.impots.gouv.fr. De plus, si vous aviez à bénéficier d’un remboursement, celui-ci se ferait automatiquement. Il ne transiterait jamais par votre carte bancaire mais serait directement versé sur le compte bancaire que vous avez enregistré auprès des services fiscaux. La DGFiP est très vigilante concernant l’hameçonnage à ses couleurs et alerte régulièrement sur son site Internet sur ces tentatives d’escroquerie.

L’arnaque à la fausse commande

Ce troisième type d’arnaque est plutôt ingénieux. Il consiste à faire penser à la future victime qu’elle a été l’objet d’une précédente escroquerie. Concrètement, elle reçoit un message l’informant qu’une livraison est en cours pour une commande qu’elle n’a pas effectuée. Bien souvent, l’adresse de livraison mentionnée ne correspond volontairement pas à celle de la victime et comporte un code postal indicatif du département des Bouches-du-Rhône ou de Seine-Saint-Denis. «Les cybercriminels misent sur la réputation de forte délinquance de ces deux départements pour achever de convaincre le destinataire du message qu’il est l’objet d’une escroquerie» précise Jean-Jacques Latour. «Le montant de la commande est souvent à peine inférieur à 1000 euros pour donner plus de crédibilité» poursuit-il. Le SMS contient là encore un lien sur lequel vous êtes invité à cliquer afin d’annuler la commande.

La conduite à adopter reste la même : ne cliquez jamais sur un lien dans un tel SMS ou un email et rendez-vous plutôt sur le site du distributeur mentionné. La marche à suivre reste la même : appelez le distributeur mentionné ou rendez-vous sur son site Internet pour voir si une telle commande est effectivement enregistrée.

Par ailleurs, soyez vigilant au moment d’effectuer vos achats en ligne. Tous les sites Internet ne sont pas dignes de confiance.

Quelques conseils

Vérifiez la réputation du site Internet sur lequel vous effectuez vos cadeaux en entrant son nom sur un moteur de recherche, éventuellement associé avec le terme «arnaque». Ne commandez pas en l’absence du nom et de l’adresse de l’éditeur du site : ces informations figurent dans les mentions légales, les conditions générales de vente (CSG) ou «qui sommes-nous»). Les CSG figurent en général en bas de la page d’accueil. Il est courant d’y retrouver de précieux renseignements autres, sur les conditions de vente, le barème des prix, les réductions de prix ou les conditions de règlement.

Les sites marchands basés en France ou en Europe offrent davantage de garanties que ceux installés hors Union européenne et qui n’indiquent pas toujours les droits de douane et de TVA. En cas de litige, vos recours contre des sites étrangers auront peu de chance d’aboutir. Sachez qu’un site en «.fr» peut légalement ne pas être édité par une société française. La lecture des «mentions légales» permet de lever toute ambiguïté.