Une escroquerie à votre porte

Le « brushing », le « quishing » et d’autres types d’escroquerie qui commencent par une livraison par coursier d’un produit que vous n’avez jamais commandé.

Vous recevez une notification de livraison ou vous trouvez simplement un colis devant votre porte. Mais vous n’avez rien commandé ! Bien entendu, tout le monde apprécie les cadeaux, mais dans ce cas précis, la prudence est de mise. Il existe plusieurs escroqueries qui ont pour point de départ la livraison d’un colis à votre domicile.

Évidemment, renseignez-vous d’abord auprès de vos amis et de votre famille : quelqu’un vous a peut-être envoyé quelque chose sans vous le dire. Mais si personne ne se manifeste, il y a de fortes chances que vous soyez confronté à l’une des situations décrites ci-dessous.

Attention, spoiler : ne scannez en aucun cas les codes QR et n’appelez pas les numéros de téléphone imprimés sur l’emballage.

Commandes de polissage

Le terme escroquerie par brushing vient de l’argot chinois de l’e-commerce. 刷单 signifie littéralement « polir les commandes » et désigne en fait une sorte d’escroquerie visant à gonfler les ventes. À l’origine, cette pratique était relativement inoffensive : vous receviez un produit que vous n’aviez pas commandé, et le vendeur publiait un avis élogieux en votre nom afin de faire grimper son classement. Pour y parvenir, des vendeurs peu scrupuleux achètent des bases de données contenant des informations personnelles qui ont été divulguées, puis créent de nouveaux comptes sur des places de marché en utilisant les noms et adresses postales des victimes, mais leur propre adresse email et leur propre moyen de paiement. Les victimes ne subissent donc pas de perte financière directe.

Vous avez de la chance, mais avant tout, votre avis

Au fil du temps, ce « brushing » relativement discret a évolué vers un balayage beaucoup plus agressif. De nos jours, les escrocs tentent de duper les destinataires de colis en les attirant vers un site Internet malveillant. Pour ce faire, ils joignent à la livraison une carte ou un autocollant comportant un code QR. L’histoire qui accompagne le code varie, mais voici quelques exemples courants :

  • « Vous avez reçu un cadeau ! Scannez le code pour découvrir qui l’a envoyé »
  • « Donnez votre avis sur notre produit et recevez une carte-cadeau d’une valeur de 100 € ! »
  • « Confirmez la réception de votre article livré gratuitement ! »

Si la victime scanne le code QR pour se renseigner sur l’identité de l’expéditeur ou réclamer un autre cadeau, la suite reprend le modèle classique du quishing (phishing par code QR) : soit on incite la victime à saisir ses données de paiement (par exemple pour « activer » la carte-cadeau) ou les codes de ses applications bancaires/administratives, soit on la pousse à installer une application pour « confirmer » ou « activer » son cadeau, qui correspond bien sûr à un programme malveillant.

Que faire s’il n’y a aucun produit ?

Les stratagèmes décrits ci-dessus ne fonctionnent que lorsqu’une boutique en ligne peut se permettre de « donner » des produits à titre promotionnel. Mais les escrocs peuvent-ils toujours obtenir vos données sans envoyer de marchandises ? Ils le peuvent, et ils le font.

Au lieu d’un colis, la victime trouve une carte postale imprimée de manière professionnelle dans sa boîte aux lettres : « Malheureusement, notre service de livraison n’a pas pu livrer votre colis car vous n’étiez pas chez vous. Un cadeau d’une valeur de 200 € ne peut être remis qu’en personne. Veuillez nous contacter pour organiser une nouvelle livraison. » La carte postale comprend un code QR, une adresse de site Web et parfois même un numéro de téléphone pour « replanifier » la livraison.

Exemple de carte postale de phishing avec une adresse de site Internet et un code QR

Une carte postale de phishing prétendument envoyée par Royal Mail, avec une adresse Internet et un code QR, semble très convaincante : les escrocs ont prêté une grande attention aux détails. Source

Si vous appelez le numéro indiqué ou visitez le site malveillant lié au code QR, vous serez amené à divulguer vos informations bancaires, vos mots de passe ou des codes à usage unique dans le cadre d’une escroquerie courante à la « livraison ».

  • « Choisissez tout de suite une heure de livraison pour éviter que l’article ne soit renvoyé à l’expéditeur »
  • « Payez des frais de 2 € » pour la nouvelle livraison. » L’objectif ici est d’obtenir vos données de paiement, puis de vous facturer des montants beaucoup plus élevés.
  • « Payez les droits de douane. » On vous informe qu’un colis de grande valeur vous a été envoyé, mais que vous devez payer les frais de douane vous-même. Et ces montants peuvent être très importants (en fonction de la valeur présumée de l’article). Dans certains pays, un « coursier » peut même se présenter en personne pour percevoir les frais en espèces.

Tous ces stratagèmes peuvent entraîner la perte d’informations personnelles et financières, mais ils aboutissent parfois à des fraudes téléphoniques causant des pertes beaucoup plus importantes. Par exemple, une fois que vous avez payé de faux frais de livraison, les escrocs peuvent vous appeler et prétendre que le colis ne peut pas être livré car il contient de la drogue. Viennent ensuite les pressions psychologiques exercées par des « policiers » qui vous appellent et tentent de vous extorquer une importante somme d’argent pour vous « protéger » contre des poursuites pénales.

Paiement à la livraison

Une autre escroquerie populaire implique des produits payables à la livraison. Parfois, les escrocs font la promotion d’un produit à l’avance et l’envoient à la victime avec son consentement, mais il existe également une variante où le colis arrive à l’improviste. Il est possible qu’un jour, un coursier se présente à votre porte avec un colis à votre nom. En général, le nom d’un produit attrayant est mis en évidence sur l’emballage, par exemple celui d’un smartphone haut de gamme. Mais… il faut payer. Le prix est 2 à 3 fois inférieur au prix du marché. Les escrocs comptent sur la cupidité et l’urgence (« le coursier est pressé, dépêchez-vous ! ») pour que la victime paie sans vérifier correctement l’article. Le livreur s’enfuit, et la victime ouvre la boîte pour y trouver soit une contrefaçon bon marché du produit commandé, soit tout simplement un produit de mauvaise qualité.

Si la victime refuse de payer pour l’article mystère, les escrocs peuvent avoir un « plan B » déjà prêt : lui soutirer un code de vérification à usage unique pour une plateforme de vente en ligne ou une banque, sous prétexte de « confirmer l’annulation de la commande ».

Attaques ciblées

Parfois, les escroqueries par livraison physique ciblent des victimes en particulier. Par exemple, des criminels ont tenté de voler des cryptomonnaies en envoyant aux propriétaires de portefeuilles matériels Ledger des colis prétendant contenir un remplacement gratuit sous garantie pour des appareils défectueux. À l’intérieur du colis se trouvait un « nouveau » portefeuille de cryptomonnaies, qui était en réalité une clé USB contenant un programme malveillant conçu pour voler la phrase secrète du portefeuille. Le groupe FIN7 a également utilisé l’envoi postal de clés USB dans le cadre d’attaques par ransomware ciblées contre certaines organisations.

La menace cachée

Les escroqueries au brushing et au quishing ont une origine déplaisante. Si vous recevez ce genre de colis, cela signifie que votre adresse et vos coordonnées ont été divulguées dans des bases de données et circulent sur des forums clandestins. Ces ensembles de données sont revendus maintes fois, vous risquez donc d’être victime d’autres types d’escroquerie. Tenez-vous prêt : activez l’authentification à deux facteurs partout, attendez-vous à recevoir des appels frauduleux, vérifiez régulièrement vos relevés bancaires et veillez à installer une protection fiable sur tous vos appareils.

Que faire si vous recevez un colis inattendu ?

  • Examinez attentivement l'emballage, les étiquettes et tous les documents qui accompagnent le produit.
  • Prenez une photo du colis par précaution, mais ne cliquez jamais sur les liens contenus dans les codes QR ou le texte imprimé. Conservez l'emballage au cas où une enquête serait menée ultérieurement.
  • N'appelez jamais les numéros de téléphone et ne visitez jamais les liens imprimés sur le colis.
  • Ne payez jamais de "frais de livraison" ni de "droits de douane", et ne communiquez jamais vos informations bancaires.
  • Ne connectez jamais à votre ordinateur ou à votre smartphone des périphériques de stockage numérique reçus par surprise.
  • Si le colis a été livré par un service de messagerie important et réputé (Amazon, eBay, DHL Express, UPS, FedEx, AliExpress, services postaux nationaux, etc.), rendez-vous sur le site officiel de l'entreprise, trouvez ses coordonnées, son service de suivi en ligne ou son service de chat en direct, puis vérifiez l'état de l'envoi et les informations relatives à l'expéditeur. Si le colis présente un numéro de suivi, saisissez-le manuellement et ne scannez aucun code QR figurant sur l'étiquette.
  • Signalez le colis suspect au service de livraison et à la police, même si vous n'avez pas été victime de vol d'argent.

 

Pour en savoir plus sur les escroqueries impliquant des codes QR, des places de marché et des services de livraison, consultez les articles suivants :

 

Conseils
  • For all other countries