Votre navigateur n'est plus à jour et il se peut que notre site ne s'affiche pas correctement sur celui-ci.

Pour une meilleure expérience web, nous vous invitons à mettre à jour votre navigateur.

Me connecter M'abonner

Une fraude par texto difficile à identifier

Par Maxime Johnson
24 février 2023
fraude-texto Saxarinka/Shutterstock.com

Les tentatives de fraude par texto sont, en général, relativement faciles à identifier. Ce n’est pas le cas pour cette arnaque hautement personnalisée qui circule en ce moment au Canada.

Une résidente de Shippagan, au Nouveau-Brunswick, a reçu un message texte (texto) en anglais qui se lit comme suit :

Notification de livraison UPS à lintention de : Claire L. Votre colis de Apple Inc, destiné à [code postal] a des frais de livraison de 3,91 $. Pour terminer la livraison, votre facture doit être payée avant le 6 février 2023. Pour ce faire, visitez le : [lien].

« J’ai trouvé ça étrange, dit Claire L., car je venais en effet d’acheter un iPad, mais la livraison était censée être gratuite. C’était intrigant. » Elle a décidé de ne pas suivre le lien en question.

Son réflexe était le bon, mais plusieurs acheteurs auraient pu tomber dans le piège. Les SMS frauduleux sont souvent très généraux : « Votre colis n’a pas été livré, suivez ce lien pour le recevoir », par exemple.

Le texto reçu par Claire L. était toutefois spécifique. Le fraudeur connaissait son nom, son numéro de téléphone, son code postal et il savait qu’elle avait acheté quelque chose chez Apple.

Pour ajouter une couche au mystère, nous avons également mis la main sur une autre tentative, aussi envoyée ce mois-ci, à Jean-François G., un analyste d’affaires. « J’ai commandé des LEGO. Quelques jours plus tard, j’ai reçu un courriel pour me donner un numéro de suivi pour la livraison. Peu après, j’ai reçu le SMS », explique-t-il. La formulation du message n’était pas la même, mais ici aussi, la personne derrière la fraude connaissait son nom, son numéro de téléphone, son code postal et elle savait où l’achat avait été réalisé. « Il y a quelqu’un qui a un problème quelque part », résume ce consommateur.

À lire aussi : Fraudes en ligne : la vigilance s’impose !

Fraudes-SMS

- Deux tentatives de fraude contenant des informations privées obtenues par Protégez-Vous.

Une fraude mystérieuse et courante

Une recherche web sur des groupes de discussion a permis de découvrir que plusieurs autres victimes avaient reçu des textos du même genre au cours des dernières semaines.

« C’est vraiment intéressant », dit Olivier Bilodeau, directeur de la recherche en cybersécurité chez GoSecure, une entreprise en sécurité informatique. Comme d’autres experts consultés par Protégez-Vous, sa curiosité a été piquée par la quantité d’informations contenue dans les messages.

« Le premier réflexe est de se dire que ce n’est qu’un hasard si ça a l’air crédible, mais il y a beaucoup trop d’informations. C’est clairement une attaque ciblée », estime-t-il.

Lorsqu’on suit l’un des liens envoyés par texto (ce qu’il ne faut jamais faire à la maison si vous recevez un message suspect, comme « nous avons utilisé un appareil sécuritaire sur un réseau isolé pour le faire »), la fraude redevient plus classique. Une page s’affiche demandant d’entrer des informations personnelles pour procéder au paiement, comme le nom, l’adresse, le numéro de carte de crédit (avec le code de sécurité) et la date de naissance. Une fois ces données obtenues, le fraudeur peut effectuer des achats en ligne ou revendre les renseignements, par exemple.

fraude

- Le lien intégré à l’un des messages frauduleux invite la victime à entrer ses informations personnelles. Capture d’écran : Maxime Johnson.

Repérer la fuite

Une enquête plus poussée sera nécessaire pour trouver la source de la fuite de données, mais les signes pointent pour l’instant du côté du service de livraison, ou d’un autre intermédiaire, puisque, dans les deux cas, les achats ont été effectués à des endroits différents.
« Il pourrait y avoir une fuite reliée aux plateformes de commerce en ligne, c’est déjà arrivé, mais ce sont ici de gros noms, alors ce serait plus étonnant », déclare Olivier Bilodeau.

Une faille dans un des outils informatiques du service de livraison, un système mal conçu ou un employé qui revend des informations à d’autres (ce qui serait plus surprenant, puisque l’employé aurait probablement accès à encore plus d’informations, ce qui permettrait de créer des textos plus réalistes) pourraient notamment expliquer la fuite de données.

Un problème informatique expliquerait d’ailleurs le fait que les deux SMS semblaient provenir de deux fraudeurs différents. « Souvent, lorsqu’il y a une faille, celui qui la découvre revend sur le web profond la marche à suivre pour en profiter, il ne tente pas de s’en servir directement. Ce sont d’autres criminels qui effectuent les fraudes elles-mêmes », précise Olivier Bilodeau.

Un porte-parole d'UPS indique ne pas avoir de renseignements spécifiques par rapport aux deux cas signalés, mais il dit être conscient que des pratiques d’hameçonnage et d’autres actes de cybermalveillance existent. « Nous encourageons nos clients et les consommateurs en général à se renseigner sur les moyens à leur disposition pour se protéger de ce type de fraude en visitant Lutte contre la fraude | UPS - Canada », ajoute-t-il par courriel. Un des exemples de fraude par SMS affichés sur le site de l’entreprise ressemble d’ailleurs à la tentative envoyée à Claire L. et Jean-François G.

Apple et Lego n’ont pas répondu à notre demande d’entrevue, mais Jean-François G. a reçu une réponse par courriel de LEGO, indiquant que « ses informations n’avaient pas été partagées à partir de [leur] site ».

À lire aussi : La fraude n’épargne pas les ados : voici comment les protéger

En attendant lenquête, faites attention

Une enquête plus poussée sera nécessaire pour découvrir la source de la fraude, qui n’est pas répertoriée sur le site du Centre antifraude du Canada ni sur son équivalent américain.

En attendant, si vous effectuez une commande en ligne et que vous recevez un message vous indiquant que vous devez payer un petit montant pour recevoir une livraison, vous devriez l’ignorer et signaler la tentative de fraude au Centre antifraude du Canada en suivant ce lien.

À lire aussi : Vie privée et vie numérique

Lire l'article
Les sirops pour enfants Robikids et Solmux retirés du marché

Santé Canada met les parents en garde contre les sirops pour enfants Robikids et Solmux servant à fluidifier le mucus. Ils n’ont pas été homologués et peuvent poser de graves risques pour la santé.
Lire l'article
Erreurs sur la facture d’épicerie : ouvrir l’œil, c’est payant !

Près de deux tiers des consommateurs ont constaté au moins une erreur de caisse sur leur facture d’épicerie l’année dernière. Votre vigilance et la Politique d’exactitude des prix pourraient vous laisser quelques dizaines de dollars de plus en poche.
Lire l'article
Budget 2023 : remettre les retraités (qui le veulent) au travail

Bonifications du Régime de rentes du Québec (RRQ) pour les aînés, vaccination gratuite contre le zona, soutien au revenu ou au logement : voici quelques mesures du Budget 2023 déposé le 21 mars par le ministre des Finances.
Lire l'article
L’Ozempic n’est pas une diète miracle

Le nom de ce médicament contre le diabète circule allègrement sur les réseaux sociaux comme traitement pouvant entraîner une importante perte de poids. Pourtant, les résultats ne sont pas toujours au rendez-vous et les effets secondaires peuvent être sévères. Décryptage.
  Ajouter un commentaire

L'envoi de commentaires est un privilège réservé à nos abonnés.

  • Par Denis Sauvé
    24 Février 2023

    À titre de francophone, mon système d'exploitation est en français et il en va ainsi de mes choix de kangue de communication avec mes fournisseurs de services (même amazon.ca). Ceci fait en sorte que je reçois nettement moins de proposition frauduleuse que mes enfants et amis qui utilisent plutôt l’anglais pour leur système d’exploitation et comme langue de communication avec les fournisseurs. Et si par malheur ils essaient de me frauder en français, c’est tellement mal écrit que ça saute aux yeux (ex: orthographe, anglicisme, syntaxe, ponctuation, etc,). Alors pour moi, c’est en français.

     1
  • Par Jean-François Lapierre
    01 Mars 2023

    Cas vécu par courriel aussi.

  • Par Eric Méthot
    24 Février 2023

    Je me suis fait avoir. J'ai recu exactement le même message avec une achat chez Amazon. Je trouvais le message étrange, mais il avait trop d'information pour que ce soit juste générale. J'ai même communiqué avec le vendeur de Amazon pour savoir si c'était normal les frais de douanes et la personne ma dit que oui cela arrive. Alors j'ai payé. Quelques jours plus, 1200 courriel dans ma boite de courriel et 7 achat de 1000$ chacun dans 7 canadian Tire différent en Ontario. J'ai recu des texto me disant que des achats était fait. En 5 minutes ils ont prit 7000$. Mais en plus 1200 courriel, comme si le voleur voulais noyer mes notification parmis la tonne de email. J'ai passer 4 ou 5 hrs à les supprimé un par un. J'ai fait environ le 3/4 et supprimé le reste car j'étais tanné de supprimé un par un Cela est arrié entre noel et jour de l'an cette année

  • Par Manon Chamberland
    25 Février 2023

    Nous avons également eu ce genre de message après une commande en ligne, Évidemment, nous n’avons pas cliqué sur le lien en question. Ce qui nous a mis la puce à l’oreille, c’est la date de livraison qui n’était pas la bonne alors nous sommes allés sur le site Amazon où nous avions fait notre commande pour constater que rien n’était changé; il s’agissait donc d’une arnaque.

  • Par Sebastien Chenet
    24 Février 2023

    J'ai exactement ce problème avec toutes mes commandes Lego, dès la réception du courriel de Lego me disant que mon colis est pris en charge par UPS, je reçois un texto d'arnaque en suivant. Je l'ai signalé au service client Lego, ils disent qu'ils enquêtent avec UPS. Pour information, Lego a changé de transporteur (fedex avant) et ce problème est apparu en meme temps qu'UPS.