arnaque

« J’ai un paquet pour vous. Veuillez scanner le QR code »

Comment les cybercriminels obtiennent les informations de votre carte bleue en se faisant passer pour DHL.

Roman Dedenok
8 Juil 2022

Les achats en ligne font désormais partie de notre quotidien : nourriture, vêtements et autres biens sont directement livrés chez nous en quelques clics seulement. Les accrocs des achats en ligne, qui sont assez nombreux, oublient parfois qu’ils doivent recevoir un colis ou manquent l’appel du livreur. Il n’est pas surprenant de constater que les cybercriminels en tirent profit et utilisent de fausses notifications de livraison comme appât.

C’est notamment le cas d’escrocs qui se font passer pour les livreurs d’un service international de livraison, DHL. Pourtant, au lieu d’utiliser un lien d’hameçonnage classique, le message reçu contient un QR code qui ouvre la page malveillante. Nous analysons dans cet article le pourquoi et le comment de cette méthode.

« Votre colis est au bureau de poste »

L’attaque commence par un message, soi-disant envoyé par DHL. Même si l’adresse de l’expéditeur est un ensemble aléatoire de mots qui ne ressemble en rien au nom du service de livraison, le corps du message est assez convaincant : logo de l’entreprise, (faux) numéro de commande et date de réception du colis.

Le message, rédigé en espagnol, indique que le colis est arrivé au bureau de poste mais que le livreur n’a pas pu le remettre en personne. Ce genre d’appât est généralement accompagné d’un lien pour » résoudre le problème « . Pourtant, cette fois il s’agit d’un QR code.

E-mail avec un QR code qui serait de DHL. Pour des raisons de sécurité, nous avons remplacer le QR code de l’image par un autre inoffensif.

Le QR code est un outil polyvalent. Il peut être utilisé pour se connecter en Wi-Fi, pour régler un achat ou pour confirmer que vous avez acheté une entrée pour un concert ou pour aller au cinéma. Pourtant, il semblerait que ces codes soient désormais souvent utilisés pour distribuer des liens hors-ligne : vous scannez le carré noir et blanc qui apparaît sur l’emballage d’un produit, sur une affiche publicitaire, sur une carte de visite ou sur n’importe quel support et vous êtes rapidement redirigé vers le site.

Dans ce cas, évidemment, les cybercriminels ne pensaient pas au confort des utilisateurs. L’idée est que, même si la victime a initialement ouvert l’e-mail sur son ordinateur, elle doit tout même scanner le QR code avec son smartphone. Cela signifie que le site malveillant s’ouvre sur le petit écran du dispositif mobile, ce qui rend plus difficile la détection des indices qui pourraient révéler qu’il s’agit d’un site d’hameçonnage. Les navigateurs mobiles ont peu d’espace pour afficher l’URL, et c’est pourquoi elle n’est pas entièrement visible. Avec Safari, la barre d’adresse a récemment été déplacée au bas de l’écran, une partie que les utilisateurs ne regardent pas vraiment. Tout cela joue en faveur des cybercriminels puisque l’utilisateur ne remarque pas que l’URL du faux site est complètement différente de l’adresse du site officiel. D’ailleurs, le mot DHL n’apparaît même pas.

Le texte du site est petit, ce qui signifie que n’importe quelle faille dans la mise en page peut passer inaperçue. Dans tous les cas, celle-ci est assez basique : le site donne la bienvenue aux utilisateurs avec un logo jaune et rouge, le nom de l’entreprise apparaît en dessous et le texte ne contient presque aucune erreur, à part quelques mots en début de phrase qui commencent avec une minuscule.

La victime voit que son colis devrait être livré d’ici 1 à 2 jours et que, pour le recevoir, elle doit saisir son nom, son prénom, son adresse et son code postal. Le service de livraison demande généralement ces renseignements, donc tout semble normal.

Faux site DHL qui demande des renseignements personnels et les informations de la carte de paiement

Les données recueillies ne se limitent pas qu’à ça. Sur la page suivante, la victime doit partager des informations plus sensibles : carte de paiement et code CVV au verso, soi-disant pour payer la livraison. Les cybercriminels n’indiquent pas le montant. Ils disent seulement que le coût dépend de la région et assurent que l’argent ne sera débité qu’à la réception du colis. Il s’avère que le vrai site de DHL demande aux utilisateurs d’effectuer un paiement à l’avance pour la livraison, lorsque la commande est passée. Si le client a en effet raté la visite du livreur, ce dernier effectue gratuitement une autre tentative de livraison.

Comment les cybercriminels utilisent-ils les données?

Il est peu probable que les cybercriminels utilisent immédiatement la carte, pour que l’utilisateur ne puisse pas faire le lien entre ces débits et le faux message de » DHL « . Ils vont certainement vendre les données de paiement sur le dark web, et c’est cet acheteur qui va ensuite siphonner le compte bancaire de la victime. Cette dernière pourrait bien avoir oublié cette histoire de colis inexistant au moment des faits.

Comment vous protéger

Les règles habituelles de protection contre la fraude en ligne s’appliquent dans ce cas :

Lorsque vous recevez un message soi-disant envoyé par un service connu, vérifiez toujours l’adresse e-mail du destinataire. Le nom de l’entreprise n’apparaît pas après @ ? Il s’agit certainement d’une arnaque. Lisez cet article pour savoir quels sont les autres signaux d’alerte.
Si vous attendez un colis, notez le numéro de suivi de la commande et utilisez notre solution Kaspersy QR Scanner (disponible sur Android et iOS). L’application va vous dire si le code ouvre un site dangereux.
Installez un antivirus de confiance sur tous les dispositifs. Ce dernier doit être équipé d’une protection anti-hameçonnage et anti-fraude afin qu’il puisse rapidement vous avertir en cas de danger.

Techniques, tactiques et procédures d’un ransomware

Une analyse détaillée des outils de chiffrement modernes et des ransomwares vous permet d’adopter des méthodes universelles pour les contrer.

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

« J’ai un paquet pour vous. Veuillez scanner le QR code »

« Votre colis est au bureau de poste »

Comment les cybercriminels utilisent-ils les données?

Comment vous protéger

Arnaque « pig butchering » : escroquerie à grande échelle à la crypto-monnaie

De l’argent pour rien

Techniques, tactiques et procédures d’un ransomware

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky