Vous connaissez probablement les arnaques qui commencent par un e-mail ou un SMS frauduleux. Plus surprenant, il peut également arriver que certaines d’entre elles se glissent dans votre boîte aux lettres « physique », via un courrier papier.
C’est ce qui est arrivé à des habitants de la région de Montpellier. Ils ont reçu dans leur boîte aux lettres un avis de passage de La Poste qui s’est révélé être un faux. Cet avis les invitait à se rendre sur un site Internet pour y régler une somme très faible, mais surtout pour que les fraudeurs puissent ainsi récupérer les coordonnées bancaires de leurs victimes.
Cet article de blog examine le fonctionnement de cette arnaque au faux avis de passage La Poste, les techniques utilisées par les hackers, et surtout quels sont les éléments qui peuvent, dans ce genre de cas, vous mettre la puce à l’oreille.
Comment fonctionne cette fraude au faux avis de passage La Poste ?
De quel type d’arnaque s’agit-il ?
Cette arnaque a été signalée le 28 août sur Twitter par un habitant de Montpellier. Celui-ci a reçu dans sa boîte aux lettres un avis de passage papier signé par La Poste (pour un recommandé avec avis de réception). Cet avis de passage s’avère en réalité être un courrier frauduleux dont l’objectif final est de récupérer des coordonnées bancaires.
Il s’agit donc d’une tentative d’hameçonnage, mais sa particularité est de combiner un support papier en plus d’utiliser un faux site Web. C’est pour cela que certains sites ont qualifié cette fraude d’hameçonnage « hybride ».
Comment se déroule cette fraude ?
Le faux avis de passage La Poste indique qu’un facteur s’est présenté au domicile de la personne lorsque celle-ci était absente (une date et une heure sont mentionnées). Le destinataire doit alors confirmer une nouvelle livraison de sa lettre en ligne en se rendant sur une page du site laposte.fr dont le lien précis figure sur l’avis de passage ou en scannant un QR code. Le faux avis indique que cette opération est à réaliser le jour même avant minuit et indique un numéro de suivi de lettre.
Les hackers cherchent à inciter leur victime à se rendre sur le site Internet laposteaide.fr/suivre-un-envoi, un site frauduleux, et à régler la somme de 97 cts d’euro afin de se faire de nouveau livrer leur lettre. L’objectif des cybercriminels est ici de récupérer des coordonnées bancaires de la victime pour en faire un usage frauduleux.
S’agit-il d’une arnaque au QR Code ?
Pas vraiment. Le QR Code n’est qu’un prétexte pour inciter la personne qui a reçu le faux avis dans sa boîte aux lettres à se rendre sur le site frauduleux. Le fait de scanner le QR code n’est pas dangereux en soi, mais c’est une étape de plus vers l’arnaque. Les QR code se sont multipliés ces dernières années. Gardez bien à l’esprit qu’ils n’ont pas forcément tous vocation à être scannés.
Quelle est la faille technique utilisée par les hackers ?
Les personnes à l’origine de cette fraude ont exploité une vulnérabilité liée à une faille de configuration du site Internet de La Poste. Il s’agit d’une vulnérabilité appelée « open redirect » ou « redirection ouverte », qui est plutôt connue, car amplement utilisée lors des tentatives de phishing.
Cette technique permet en effet à des personnes malveillantes de rediriger des utilisateurs qui se trouvent sur un site Web de confiance vers un site Web potentiellement malveillant. Et ce qui s’est passé ici : le lien qui figure sur l’avis de passage et celui du QR code sont bien des liens avec une URL en laposte.fr. C’est après être arrivé sur le site légitime que la victime est redirigée vers un site malveillant. Depuis le signalement de cette arnaque, la faille a été corrigée et la redirection n’est aujourd’hui plus disponible.
Comment se prémunir de ce genre d’arnaques ?
Identifier les ressorts utilisés par les hackers
Les hackers entendent ici profiter de la notoriété de La Poste pour abuser de la crédibilité de leurs victimes. Chaque Français connaît La Poste et recevoir un avis de passage dans sa boîte aux lettres n’a absolument rien d’anormal. La Poste rappelle d’ailleurs sur son site Internet que son image est régulièrement « détournée par des tentatives de phishing liées à son nom ».
D’autre part, le document joue sur une prétendue « urgence », puisqu’il est indiqué que la demande de relivraison de la lettre est à réaliser « aujourd’hui avant minuit sur Internet ». Il s’agit là encore d’une technique couramment utilisée par les hackers, qui consiste à créer un faux sentiment d’urgence pour pousser leurs victimes à réaliser une action dans la précipitation, et sans prendre le temps de réfléchir suffisamment.
Les hackers utilisent un support papier, souvent considéré comme un gage de crédibilité. La somme demandée (97 centimes d’euro) est relativement faible. Après tout, le risque peut sembler minime.
Repérer les différents éléments anormaux
Le faux avis de passage est plutôt réaliste (il reprend les couleurs de La Poste), et pourtant, certains éléments peuvent faire comprendre qu’il s’agit d’une arnaque. La qualité de l’impression n’est pas parfaite, et le numéro de suivi mentionné sur le faux avis de passage est celui d’un colis et non d’un courrier recommandé. Il s’agit d’ailleurs du numéro de colis utilisé à titre d’exemple par La Poste sur son site Internet, comme l’ont mentionné certains internautes sur Twitter. Dans tous les cas, il est recommandé de vérifier le numéro indiqué sur l’avis de passage en se rendant sur laposte.fr/outils/suivre-vos-envois
La Poste a indiqué que l’entreprise ne demande jamais d’argent pour présenter de nouveau un courrier en cas d’absence du destinataire. Enfin, le délai pour récupérer un recommandé après le dépôt d’un avis de passage est de 15 jours.
En résumé
Que faut-il retenir de cette attaque de type hameçonnage « hybride » ? Tout simplement que les arnaques sont désormais de plus en plus sophistiquées et réalistes. Elles intègrent de mieux en mieux des éléments physiques pour tromper les victimes.
Comment se protéger ? En s’informant régulièrement des dernières menaces et en restant en permanence vigilant.
Le Hub de Cyber Security : accès à des contenus exclusifs en cybersécurité
Inscrivez-vous dès maintenant pour accéder à des contenus informatifs, partageables et multiformats sur la cybersécurité.