{"id":19105,"date":"2022-07-08T09:44:56","date_gmt":"2022-07-08T07:44:56","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19105"},"modified":"2022-07-08T09:44:56","modified_gmt":"2022-07-08T07:44:56","slug":"dhl-scam-with-qr-codes","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/dhl-scam-with-qr-codes\/19105\/","title":{"rendered":"« J’ai un paquet pour vous. Veuillez scanner le QR code »"},"content":{"rendered":"

Les achats en ligne font d\u00e9sormais partie de notre quotidien\u00a0: nourriture, v\u00eatements et autres biens sont directement livr\u00e9s chez nous en quelques clics seulement. Les accrocs des achats en ligne, qui sont assez nombreux, oublient parfois qu\u2019ils doivent recevoir un colis ou manquent l\u2019appel du livreur. Il n\u2019est pas surprenant de constater que les cybercriminels en tirent profit et utilisent de fausses notifications de livraison comme app\u00e2t.<\/p>\n

C\u2019est notamment le cas d\u2019escrocs qui se font passer pour les livreurs d\u2019un service international de livraison, DHL. Pourtant, au lieu d\u2019utiliser un lien d\u2019hame\u00e7onnage classique, le message re\u00e7u contient un QR code qui ouvre la page malveillante. Nous analysons dans cet article le pourquoi et le comment de cette m\u00e9thode.<\/p>\n

\u00ab\u00a0Votre colis est au bureau de poste\u00a0\u00bb<\/h2>\n

L\u2019attaque commence par un message, soi-disant envoy\u00e9 par DHL. M\u00eame si l\u2019adresse de l\u2019exp\u00e9diteur est un ensemble al\u00e9atoire de mots qui ne ressemble en rien au nom du service de livraison, le corps du message est assez convaincant\u00a0: logo de l\u2019entreprise, (faux) num\u00e9ro de commande et date de r\u00e9ception du colis.<\/p>\n

Le message, r\u00e9dig\u00e9 en espagnol, indique que le colis est arriv\u00e9 au bureau de poste mais que le livreur n\u2019a pas pu le remettre en personne. Ce genre d\u2019app\u00e2t est g\u00e9n\u00e9ralement accompagn\u00e9 d\u2019un lien pour \u00a0\u00bb\u00a0r\u00e9soudre le probl\u00e8me\u00a0\u00ab\u00a0. Pourtant, cette fois il s\u2019agit d\u2019un QR code.<\/p>\n

\"E-mail

E-mail avec un QR code qui serait de DHL. Pour des raisons de s\u00e9curit\u00e9, nous avons remplacer le QR code de l\u2019image par un autre inoffensif.<\/p><\/div>\n

\u00a0<\/p>\n

\u00a0<\/strong>Le QR code est un outil polyvalent. Il peut \u00eatre utilis\u00e9 pour se connecter en Wi-Fi, pour r\u00e9gler un achat ou pour confirmer que vous avez achet\u00e9 une entr\u00e9e pour un concert ou pour aller au cin\u00e9ma. Pourtant, il semblerait que ces codes soient d\u00e9sormais souvent utilis\u00e9s pour distribuer des liens hors-ligne\u00a0: vous scannez le carr\u00e9 noir et blanc qui appara\u00eet sur l\u2019emballage d\u2019un produit, sur une affiche publicitaire, sur une carte de visite ou sur n\u2019importe quel support et vous \u00eates rapidement redirig\u00e9 vers le site.<\/p>\n

Dans ce cas, \u00e9videmment, les cybercriminels ne pensaient pas au confort des utilisateurs. L\u2019id\u00e9e est que, m\u00eame si la victime a initialement ouvert l\u2019e-mail sur son ordinateur, elle doit tout m\u00eame scanner le QR code avec son smartphone. Cela signifie que le site malveillant s\u2019ouvre sur le petit \u00e9cran du dispositif mobile, ce qui rend plus difficile la d\u00e9tection des indices qui pourraient r\u00e9v\u00e9ler qu\u2019il s\u2019agit d\u2019un site d\u2019hame\u00e7onnage. Les navigateurs mobiles ont peu d\u2019espace pour afficher l\u2019URL, et c\u2019est pourquoi elle n\u2019est pas enti\u00e8rement visible. Avec Safari, la barre d\u2019adresse a r\u00e9cemment \u00e9t\u00e9 d\u00e9plac\u00e9e au bas de l\u2019\u00e9cran, une partie que les utilisateurs ne regardent pas vraiment. Tout cela joue en faveur des cybercriminels puisque l\u2019utilisateur ne remarque pas que l\u2019URL du faux site est compl\u00e8tement diff\u00e9rente de l\u2019adresse du site officiel. D\u2019ailleurs, le mot DHL n\u2019appara\u00eet m\u00eame pas.<\/p>\n

Le texte du site est petit, ce qui signifie que n\u2019importe quelle faille dans la mise en page peut passer inaper\u00e7ue. Dans tous les cas, celle-ci est assez basique\u00a0: le site donne la bienvenue aux utilisateurs avec un logo jaune et rouge, le nom de l\u2019entreprise appara\u00eet en dessous et le texte ne contient presque aucune erreur, \u00e0 part quelques mots en d\u00e9but de phrase qui commencent avec une minuscule.<\/p>\n

La victime voit que son colis devrait \u00eatre livr\u00e9 d\u2019ici 1 \u00e0 2 jours et que, pour le recevoir, elle doit saisir son nom, son pr\u00e9nom, son adresse et son code postal. Le service de livraison demande g\u00e9n\u00e9ralement ces renseignements, donc tout semble normal.<\/p>\n

\"Faux

Faux site DHL qui demande des renseignements personnels et les informations de la carte de paiement<\/p><\/div>\n

\u00a0<\/strong><\/p>\n

Les donn\u00e9es recueillies ne se limitent pas qu\u2019\u00e0 \u00e7a. Sur la page suivante, la victime doit partager des informations plus sensibles\u00a0: carte de paiement et code CVV au verso, soi-disant pour payer la livraison. Les cybercriminels n\u2019indiquent pas le montant. Ils disent seulement que le co\u00fbt d\u00e9pend de la r\u00e9gion et assurent que l\u2019argent ne sera d\u00e9bit\u00e9 qu\u2019\u00e0 la r\u00e9ception du colis. Il s\u2019av\u00e8re que le vrai site de DHL demande aux utilisateurs d\u2019effectuer un paiement \u00e0 l\u2019avance pour la livraison, lorsque la commande est pass\u00e9e. Si le client a en effet rat\u00e9 la visite du livreur, ce dernier effectue gratuitement une autre tentative de livraison.<\/p>\n

Comment les cybercriminels utilisent-ils les donn\u00e9es?<\/h2>\n

Il est peu probable que les cybercriminels utilisent imm\u00e9diatement la carte, pour que l\u2019utilisateur ne puisse pas faire le lien entre ces d\u00e9bits et le faux message de \u00a0\u00bb\u00a0DHL\u00a0\u00ab\u00a0. Ils vont certainement vendre les donn\u00e9es de paiement sur le dark web, et c\u2019est cet acheteur qui va ensuite siphonner le compte bancaire de la victime. Cette derni\u00e8re pourrait bien avoir oubli\u00e9 cette histoire de colis inexistant au moment des faits.<\/p>\n

Comment vous prot\u00e9ger<\/h2>\n

Les r\u00e8gles habituelles de protection contre la fraude en ligne s\u2019appliquent dans ce cas\u00a0:<\/p>\n