«Bonjour, c’est le livreur, votre colis ne rentrait pas dans la boîte aux lettres, merci de choisir un point relais sur : https://lockers-mondialrelay.com.» Peut-être avez-vous reçu ce type de SMS dernièrement, voire cliqué sur le lien et renseigné vos informations bancaires. Et l’on ne vous y reprendra plus.
Car le « hameçonnage par texto » (ou «smishing», de SMS + phishing) est une arnaque ayant explosé en 5 ans, notamment en raison de l’essor de la vente à distance. L’objectif est d’inciter l’internaute à cliquer sur un lien, pour y entrer ses données personnelles afin de l’escroquer. Si les chiffres exacts sont difficiles à estimer, le major Leroch, de l’unité nationale cyber de la gendarmerie nationale, évoque une augmentation d’environ 200 % de ce type de SMS entre 2020 et 2025. 400 000 SMS d’arnaques sont détectés chaque jour en France avec des pics lors des événements comme le Black Friday, Noël ou les French Days. Alors, comment ne pas tomber dans le piège ?
Être extrêmement vigilant dès la réception du SMS
La première réaction à avoir est d’être très vigilant à la réception de ce type de SMS, prétendant venir d’un transporteur. Si tous sont visés (Chronopost, La Poste, UPS…), Mondial Relais et Relais Colis l’ont été particulièrement dans les dernières semaines explique le major Leroch.
Ces messages viennent souvent de numéros commençant par 06 ou 07. Dans ce cas, « il y a 99,9% de chances pour que ce soit une arnaque » décrypte Jerôme Notin, directeur de la plateforme cybermalveillance.gouv.fr ayant pour mission de sensibiliser, prévenir et assister sur la cybermalveillance. « Les services professionnels utilisent des numéros à cinq chiffres pour envoyer des SMS, ou appellent directement » précise le major Leroch. Et même si le nom du transporteur s’affiche en tant qu’expéditeur, « il faut quand même faire très attention ».
Plus troublant, les SMS sont souvent personnalisés avec le nom, le prénom, voire l’adresse et parfois l’IBAN de la personne contactée, conséquence des nombreuses fuites de données de ces dernières années. « Si vous recevez ce type de SMS, rendez-vous sur l’espace personnel du site marchand pour vérifier les informations » avise Jérôme Notin.
Ne pas cliquer sur l’URL
Et si on clique sur l’URL mentionnée dans le SMS, que se passe-t-il ? Un utilisateur témoigne, sur le site signal arnaques: « Le lien renvoie vers une fausse page Mondial Relay. Faites attention, à quelques détails près on s’y croirait. J’ai essayé d’appeler le “livreur”, il ne répond pas évidemment. »
Il a effectivement atterri sur un site frauduleux, sorte de clone du site officiel du transporteur. « Ce sont pratiquement des copies conformes des sites officiels » précise Jérôme Notin. L’objectif est de mettre la victime en confiance. « C’est de la criminalité organisée », continue-t-il. Les escrocs « développent des “kits” tout en un, qu’ils vendent à des personnes sans compétences digitales, leur permettant de générer des SMS et de créer des faux sites ». Cela « démocratise la cybercriminalité ». Les informations transmises peuvent ensuite être utilisées pour de la fraude bancaire par exemple, ou pour de la revente de données.
Si on clique sur le lien, « il faut bien vérifier l’adresse du navigateur » conseille Major Leroch. Mais de toute façon, il faut toujours passer par le site officiel de l’annonceur ou du commerçant. « La consigne est de ne jamais communiquer d’informations sensibles » campe-t-il.
Faire opposition, porter plainte et signaler
Si, malgré tout, des données personnelles ont été transmises, la première chose à faire est de contacter sa banque afin de faire opposition sur sa carte bancaire. Il est aussi conseillé de porter plainte si des informations personnelles ont été partagées.
Des plateformes ont été mises en place afin d’aider à lutter contre la cybermalveillance, comme le site 17cyber.gouv.fr. Elle va permettre de qualifier la menace, de mettre en relation avec un prestataire technique ou avec un policier ou un gendarme si nécessaire. Par ailleurs, à la réception d’un spam SMS il est encouragé de faire un signalement sur le site 33700. Une application « Ma sécurité », développée par le ministère de l’Intérieur, permet aussi de recevoir des notifications. Enfin, pour les personnes plus à l’aise avec le téléphone : le numéro info escroquerie au 0 805 805 817 permet de guider l’utilisateur. Des signalements nécessaires afin « que les enquêteurs puissent identifier les auteurs, et pour que la puissance publique ait une connaissance précise de ce phénomene », détaille Jérôme Notin.