Germain
[ad_1]
La ville de Montpellier semble touchée par une campagne d’escroqueries. Des habitants ont reçu de faux avis de passage de La Poste redirigeant vers un site demandant leurs coordonnées bancaires.
C’est un curieux courrier que Flavio Perez a reçu ce 23 août. Après avoir laissé traîner la lettre quelques jours, ce directeur technique d’un studio de film d’animation s’est penché sur cet étrange avis de passage. Mais après quelques vérifications, le Montpelliérain flaire l’arnaque.
Hameçonnage physique
L’avis de passage indique qu’un courrier recommandé avec accusé de réception n’a pas pu être livré et invite à programmer une nouvelle livraison. Seul problème, le lien inscrit ainsi que le QR Code à scanner redirigent vers un site frauduleux, où la personne piégée est invitée à rentrer ses coordonnées bancaires.
“Je dois admettre qu’un hameçonnage physique est une première pour moi et qu’il m’a fallu quelques minutes et des vérifications pour être sûr que c’était une arnaque”, explique Flavio Perez auprès de Tech & Co.
Par chance, cet habitant de Montpellier est alerte sur les tentatives de hameçonnage, ces escroqueries qui prennent la forme de mails ou de SMS aux couleurs d’un établissement connu de la victime, comme sa banque ou son opérateur téléphonique.
Plusieurs éléments alertent Flavio Perez. D’abord, la taille de l’adresse URL – anormalement longue – le perturbe. Ensuite, l’impression du document n’est pas précise. De plus, la qualité du papier semble similaire à celle d’une page imprimée à domicile.
Sur le document, d’autres indices trahissent la tentative d’arnaque. Le numéro de suivi est imprimé directement sur l’avis de passage. En temps normal, c’est le facteur qui le reporte lui-même au stylo ou à l’aide d’une étiquette. Sur Twitter, certains ont d’ailleurs remarqué que le numéro de suivi utilisé est celui proposé en exemple sur le site de La Poste.
Faille d’un outil de redirection
S’il assure avoir eu des doutes, un détail l’a tout de même convaincu d’ouvrir le lien. “Quand j’ai visé le QR code, j’ai vu que l’URL pointait le site de La Poste, remarque Flavio Perez. Je l’ai donc ouvert”. Mais une fois cliqué, le lien le renvoie finalement vers un site inconnu, ce qui finit de confirmer ses soupçons.
Cet affichage n’est pas dû à une erreur. Il s’agit de l’exploitation d’une faille d’un outil interne de l’entreprise française.
“La Poste a un outil interne qui permet des redirections entre ses différents sites Web. En principe, ces outils de redirection sont sécurisés, pour vérifier qu’ils renvoient toujours vers des sites fiables et appartenant au groupe. Concernant La Poste, ce n’est pas le cas. Il est ainsi possible de détourner cet outil pour renvoyer un lien contenant l’adresse ‘laposte.fr’ vers un site frauduleux, ce qui est extrêmement dangereux”, explique Xavier Mouton-Dubosc, journaliste et développeur Web, auprès de Tech & Co.
Depuis l’alerte lancée par Flavio Perez sur Twitter le 28 août, le site pointé par le faux avis de passage a été désactivé. Le Montpelliérain a néanmoins reçu plusieurs témoignages de personnes ayant elles-aussi trouvé le document frauduleux dans leur boîte aux lettres. “Au moins deux ou trois sur Twitter”, précise-t-il. Les autres habitants touchés vivent dans des quartiers différents de Montpellier, ce qui garde le mystère sur la diffusion de cette arnaque pour le moins originale.
Contacté par Tech & Co, un porte-parole de La Poste affirme que l’entreprise a elle-même désactivé le lien présent sur l’avis de passage. Pour l’heure, l’action semble très localisée et se cantonne à la seule ville de Montpellier.
“Cette tentative hybride papier et numérique est une nouveauté, reconnaît le porte-parole. Mais cela la rend peu déployable puisqu’elle demande une logistique importante.” Un correctif est d’ores et déjà en test pour supprimer la possibilité de redirection vers n’importe quel site. Il devrait être déployé dans les prochains jours.
Début juillet, le site internet de La Poste Mobile avait été la cible d’une cyberattaque. Revendiquée par le groupe de pirates informatiques russophones LockBit 3.0, cette opération a conduit à la diffusion des données personnelles de milliers de clients du cinquième opérateur téléphonique en France.
[ad_2]
