Chronopost n’est pas un service de La Poste, et loin de nous l’idée de le recommander, compte tenu des déboires ayant pu agacer des clients.

Que l’on soit client de Chronopost ou non, on peut toutefois s’étonner de recevoir un courriel invitant à se connecter sur son site de suivi des colis en attente de distribution. Même sans être client, on peut être tenté de croire que quelqu’un nous a envoyé un colis qu’il faut absolument récupérer.

Ce courriel reçu par un lecteur de Deontofi.com le 1er février 2019 explique ainsi :

Bоnjоur , 
A titrе dе rарреl , Chrоnороst vоus infоrmе quе vоtrе еnvоi Nо°785426952***99T
еst tоujоurs еn аttеntе d’instruсtiоn dе vоtrе раrt, соnfirmеr lе règlеmеnt dеs frаis dе livrаisоn dе l’еnvоi du vоtrе соlis ( 2.50 € ) еn сliquаnt sur lе liеn suivаnt : 
httрs;//www.сhrоnоrроst.fr/fr/inc/suivi/vаlidаtiоn.x=15.
Sаns instruсtiоn dе vоtrе раrt , vоtrе соlis sеrа еn rеtоurs dirесt à l’еxрéditеur еn соmрlémеnt , nоus vоus рréсisеrоns l’hеurе dе livrаisоn dе vоtrе соlis .
Chronopost international
Biеn соrdiаlеmеnt ,
Vеuillеz régulаrisеr сеttе situаtiоn lе рlus rарidеmеnt роssiblе.
соrdiаlеmеnt.

Le mail est envoyé par « Bala <bala@trivediat.com> »

Bon ça va, pas besoin de répéter « Bien cordialement » suivi de « cordialement », en plus des autres fautes d’accords et de la syntaxe approximative…

L’oeil exercé détecte immédiatement une tentative de hameçonnage (penser au h, 1 m 2 n, l’orthographe n’est guère plus facile pour sa traduction anglaise: phishing, par allusion à fishing, « pêcher »).

Mais l’appât est assez bien fait, car on peut vraiment croire lire un lien vers le site « officiel » de Chronopost, si l’on n’est pas très concentré.

En passant sa souris sur le faux lien vers « Chronopost », on voit déjà que l’adresse web cachée derrière ce lien n’est pas la même que celle affichée dans le texte. Il s’agit d’une URL simplifiée (ou tiny URL) renvoyant vers « http ://bit.ly/2FZB6Ox ».

Par curiosité on clique « très prudemment », en faisant un « clic droit », « ouvrir dans une fenêtre de navigation privée », ce qui permet au minimum de ne pas donner l’identité de son PC (l’adresse IP) au site d’arnaque qu’on s’attend à trouver.

C’est effectivement un site d’arnaque. On le voit tout de suite en vérifiant l’adresse qui s’affiche: chronopoinst.fr . Au moins ils ont de l’humour. POINST, ça sonne bien pour un faux site de POSTE, imitant un service de livraison de colis lui-même très éloigné des standards de qualité de La Poste (même s’il peut y avoir débat sur ce « poinst » aussi).

Toujours est-il qu’on est en pleine arnaque sur ce faux Chronopost, dont le but est évidemment de piller votre carte bancaire.

Amusés, on cherche à savoir quand ils vont la demander cette fameuse CB à piller. Alors on remplit très prudemment le premier formulaire, en ne donnant jamais ses vraies coordonnées, surtout pas son numéro de téléphone.

Au passage remarquez que les sites d’arnaques font toujours des fautes d’orthographe (ce qui ne veut pas dire que les autres n’en font pas mais de façon moins systématique)

On arrive alors sur la fameuse page de vol de coordonnées bancaires, où l’on vous demande d’indiquer les coordonnées de votre CB. Attention, là il ne faut surtout rien donner car vous avez la certitude d’ouvrir votre compte bancaire à des escrocs qui ne vont pas se contenter de prélever les 2,50€ ou 2,99€ demandés (oui, vous aurez remarqué que le montant demandé sur le site web est différent de celui indiqué dans le message reçu par courriel, autre indice d’une arnaque).

Si vous donnez vos coordonnées de CB, les escrocs se serviront autant qu’ils peuvent. L’astuce est qu’il s’agit, même au sein de l’escroquerie, d’un faux site de paiement. Nous l’avons testé pour vérifier.

C’est très simple: Deontofi.com s’est risqué à renseigner le formulaire de demande de coordonnées de CB AVEC DE FAUSSES INFORMATION. Attention, on le répète, ne donnez jamais votre CB à la légère sur Internet !

Encore trois fautes messieurs les escrocs, vous me recopierez « expédition » avec un é (pas un è), « jusqu’à » avec un à (pas le verbe avoir) et « numéro de carte » (pas « du carte » ducon).

Donc on a saisi n’importe quoi dans ce formulaire, un faux code de carte, une fausse date d’expiration et un faux code « cryptogramme visuel », puis cliqué sur « continuer ». Et là, miracle ! On arrive sur une page de confirmation demandant de saisir le code d’authentification reçu de sa banque par SMS. Le fameux code 3D secure, détourné dans tant de fraudes aux moyens de paiement que les banques refusent de rembourser malgré leurs obligations légales.

Comble du hameçonnage, le site d’arnaque collecte les données bancaires d’un côté sans déclencher une réelle transaction, puis le code d’authentification 3D secure reçu par SMS, pour pouvoir détourner les deux en pillant davantage les CB des victimes imprudentes.

Miracle car, en principe sur un site de transactions par CB normal, on n’arrive pas sur la page de saisie du code reçu par SMS tant que la banque n’a pas été contactée par les circuits de vérification des coordonnées de CB. Or, dans cette expérience, on y arrive SANS AVOIR SAISI de vraies coordonnées de CB !

En revenant au message reçu, on remarque d’autres indices qu’il s’agissait d’une arnaque. Le faux lien Chronopost était lui-même bourré de fautes. On observe d’abord une faute dans le nom propre, recopié en « chronorpost », amusant de voir ce « chronor » se balader avant « post ». Et puis surtout, on a jamais vu une adresse https, ni aucune adresse internet, suivie d’un point-virgule « ; » à la place des deux points « : » indiquant l’adresse de connexion au réseau.

Des arnaques comme celle-ci il y en a chaque jour des dizaines, centaines ou milliers à débarquer dans les boîtes aux lettres des consommateurs. Les plus vulnérables en sont souvent les premières victimes, personnes âgées ou peu attentives, n’ayant pas toujours la culture technique pour repérer ces arnaques, qui se font plumer en communiquant de bonne foi leurs coordonnées de CB à des sites de hameçonnage.

Lire Deontofi.com peut permettre d’éviter de se faire arnaquer bêtement. Les souscripteurs d’un abonnement Détontofi Advisor (48€ par an) bénéficient en plus d’un service d’alerte et de vérification personnalisé contre les pièges qui leur sont tendus. Et ça, c’est pas de l’arnaque ! Parlez-en à vos amis 😉

Laisser un commentaire