Les achats en ligne font désormais partie de notre quotidien : nourriture, vêtements et autres biens sont directement livrés chez nous en quelques clics seulement. Les accrocs des achats en ligne, qui sont assez nombreux, oublient parfois qu’ils doivent recevoir un colis ou manquent l’appel du livreur. Il n’est pas surprenant de constater que les cybercriminels en tirent profit et utilisent de fausses notifications de livraison comme appât.
C’est notamment le cas d’escrocs qui se font passer pour les livreurs d’un service international de livraison, DHL. Pourtant, au lieu d’utiliser un lien d’hameçonnage classique, le message reçu contient un QR code qui ouvre la page malveillante. Nous analysons dans cet article le pourquoi et le comment de cette méthode.
« Votre colis est au bureau de poste »
L’attaque commence par un message, soi-disant envoyé par DHL. Même si l’adresse de l’expéditeur est un ensemble aléatoire de mots qui ne ressemble en rien au nom du service de livraison, le corps du message est assez convaincant : logo de l’entreprise, (faux) numéro de commande et date de réception du colis.
Le message, rédigé en espagnol, indique que le colis est arrivé au bureau de poste mais que le livreur n’a pas pu le remettre en personne. Ce genre d’appât est généralement accompagné d’un lien pour » résoudre le problème « . Pourtant, cette fois il s’agit d’un QR code.
Le QR code est un outil polyvalent. Il peut être utilisé pour se connecter en Wi-Fi, pour régler un achat ou pour confirmer que vous avez acheté une entrée pour un concert ou pour aller au cinéma. Pourtant, il semblerait que ces codes soient désormais souvent utilisés pour distribuer des liens hors-ligne : vous scannez le carré noir et blanc qui apparaît sur l’emballage d’un produit, sur une affiche publicitaire, sur une carte de visite ou sur n’importe quel support et vous êtes rapidement redirigé vers le site.
Dans ce cas, évidemment, les cybercriminels ne pensaient pas au confort des utilisateurs. L’idée est que, même si la victime a initialement ouvert l’e-mail sur son ordinateur, elle doit tout même scanner le QR code avec son smartphone. Cela signifie que le site malveillant s’ouvre sur le petit écran du dispositif mobile, ce qui rend plus difficile la détection des indices qui pourraient révéler qu’il s’agit d’un site d’hameçonnage. Les navigateurs mobiles ont peu d’espace pour afficher l’URL, et c’est pourquoi elle n’est pas entièrement visible. Avec Safari, la barre d’adresse a récemment été déplacée au bas de l’écran, une partie que les utilisateurs ne regardent pas vraiment. Tout cela joue en faveur des cybercriminels puisque l’utilisateur ne remarque pas que l’URL du faux site est complètement différente de l’adresse du site officiel. D’ailleurs, le mot DHL n’apparaît même pas.
Le texte du site est petit, ce qui signifie que n’importe quelle faille dans la mise en page peut passer inaperçue. Dans tous les cas, celle-ci est assez basique : le site donne la bienvenue aux utilisateurs avec un logo jaune et rouge, le nom de l’entreprise apparaît en dessous et le texte ne contient presque aucune erreur, à part quelques mots en début de phrase qui commencent avec une minuscule.
La victime voit que son colis devrait être livré d’ici 1 à 2 jours et que, pour le recevoir, elle doit saisir son nom, son prénom, son adresse et son code postal. Le service de livraison demande généralement ces renseignements, donc tout semble normal.
Les données recueillies ne se limitent pas qu’à ça. Sur la page suivante, la victime doit partager des informations plus sensibles : carte de paiement et code CVV au verso, soi-disant pour payer la livraison. Les cybercriminels n’indiquent pas le montant. Ils disent seulement que le coût dépend de la région et assurent que l’argent ne sera débité qu’à la réception du colis. Il s’avère que le vrai site de DHL demande aux utilisateurs d’effectuer un paiement à l’avance pour la livraison, lorsque la commande est passée. Si le client a en effet raté la visite du livreur, ce dernier effectue gratuitement une autre tentative de livraison.
Comment les cybercriminels utilisent-ils les données?
Il est peu probable que les cybercriminels utilisent immédiatement la carte, pour que l’utilisateur ne puisse pas faire le lien entre ces débits et le faux message de » DHL « . Ils vont certainement vendre les données de paiement sur le dark web, et c’est cet acheteur qui va ensuite siphonner le compte bancaire de la victime. Cette dernière pourrait bien avoir oublié cette histoire de colis inexistant au moment des faits.
Comment vous protéger
Les règles habituelles de protection contre la fraude en ligne s’appliquent dans ce cas :
- Lorsque vous recevez un message soi-disant envoyé par un service connu, vérifiez toujours l’adresse e-mail du destinataire. Le nom de l’entreprise n’apparaît pas après @ ? Il s’agit certainement d’une arnaque. Lisez cet article pour savoir quels sont les autres signaux d’alerte.
- Si vous attendez un colis, notez le numéro de suivi de la commande et utilisez notre solution Kaspersy QR Scanner (disponible sur Android et iOS). L’application va vous dire si le code ouvre un site dangereux.
- Installez un antivirus de confiance sur tous les dispositifs. Ce dernier doit être équipé d’une protection anti-hameçonnage et anti-fraude afin qu’il puisse rapidement vous avertir en cas de danger.