La ville de Montpellier semble être touchée par une campagne de fraude. Des habitants ont reçu de faux avis de passage de La Poste, les dirigeant vers un site leur demandant leurs coordonnées bancaires.

C’est une curieuse lettre que Flavio Perez a reçue le 23 août. Après avoir laissé la lettre reposer pendant quelques jours, cet étrange message a été étudié par un directeur technique d’un studio de cinéma d’animation. Mais après quelques vérifications, le Montpelliérain flaire une arnaque.

Hameçonnage physique

L’avis de passage indique que le courrier recommandé avec avis de passage n’a pu être livré et vous invite à fixer un nouveau délai de livraison. Le seul problème est que le lien saisi et le code QR scanné mènent à une page frauduleuse où la personne piégée est invitée à saisir ses coordonnées bancaires.

Heureusement, ce Montpelliérain est attentif aux tentatives de phishing, ces arnaques qui se déroulent sous forme d’e-mails ou de SMS aux couleurs d’une institution connue de la victime, comme sa banque ou son opérateur téléphonique.

Plusieurs éléments mettent en garde Flavio Perez. Tout d’abord, la taille de l’URL prête à confusion – inhabituellement longue. Ensuite, l’impression du document ne sera pas exacte. De plus, la qualité du papier semble similaire à celle d’une page imprimée à la maison.

D’autres indices sur le document trahissent une tentative d’escroquerie. Le numéro de suivi est imprimé directement sur l’avis d’expédition. Habituellement, le facteur lui-même l’annonce avec un stylo ou une étiquette. Certains sur Twitter ont d’ailleurs remarqué que le numéro de suivi utilisé était proposé en exemple sur le site de La Poste.

Faille d’un outil de redirection

Alors qu’il prétend avoir des doutes, certains détails l’ont convaincu d’ouvrir le lien quand même. « Quand j’ai ciblé le QR code, j’ai vu que l’URL pointait vers le site de La Poste », note Flavio Perez. Alors je l’ai ouvert. » Mais après avoir cliqué, le lien finit par l’envoyer sur un site inconnu qui confirme enfin ses soupçons.

À Lire  Comment signaler un serveur Discord ?

Cet affichage n’est pas dû à une erreur. Il s’agit d’exploiter un bug dans un outil interne de l’entreprise française.

Suite à un avertissement lancé le 28 août par Flavio Perez sur Twitter, le site visé par le faux message de passe a été désactivé. Malgré cela, le Montpelliérain a reçu plusieurs témoignages de personnes qui ont également trouvé un document frauduleux dans leur boîte aux lettres. « Au moins deux ou trois sur Twitter », précise-t-il. D’autres habitants concernés habitent dans différents quartiers de Montpellier, ce qui garde secrète la diffusion de cette arnaque pour le moins originale.

Contacté Tech & amp; Co, un porte-parole de La Poste confirme que l’entreprise a elle-même désactivé le lien dans l’avis de passage. Pour le moment, l’activité semble très localisée et limitée à la ville de Montpellier.

« Cette expérimentation hybride papier et numérique est une nouveauté », reconnaît le porte-parole. Cependant, cela rend la mise en œuvre difficile car elle nécessite une logistique importante. Le correctif est déjà testé pour supprimer la possibilité de rediriger vers n’importe quel site. Il devrait être déployé dans les prochains jours.

Début juillet, le site Internet de La Poste Mobile a été la cible d’une cyberattaque. LockBit 3.0, un groupe de pirates russophones, a affirmé que l’opération avait conduit à la diffusion des données personnelles de milliers de clients du cinquième opérateur téléphonique français.