L’Office fédéral de la cybersécurité alerte sur une hausse significative des arnaques par fausses notifications de colis en Suisse. Les cybercriminels exploitent le chiffrement d’iMessage et RCS pour échapper aux filtres de sécurité des opérateurs
C’est un SMS, reçu il y a quelques jours via iMessage sur iPhone. «Le 18 août, nous avons tenté de vous livrer votre colis DPD. Malheureusement, nous n’avons pas pu vous joindre personnellement et le colis nécessite une signature à la livraison. La livraison n’a donc pas pu être effectuée. Veuillez convenir dès maintenant d’une nouvelle date de livraison. Sélectionnez ici une nouvelle date: https://www.dpdaph.help/ch-de.» Le message précise qu’il y a deux possibilités, «sélectionner une nouvelle date et/ou une nouvelle plage horaire pour la livraison», ou alors «faire rediriger le colis vers un point de retrait DPD». Puis vient une injonction un peu étrange: «Répondez simplement par «Y», fermez le SMS et ouvrez-le à nouveau – le lien sera alors activé. Si cela ne fonctionne pas, copiez le lien et collez-le directement dans Safari.»
Pour un Romand, l’arnaque est plutôt facile à déceler. Le message est envoyé en allemand, et émane d’un numéro commençant par +63, soit l’indicatif téléphonique des Philippines. Dans ce cas, il est aisé de déjouer la tentative d’escroquerie via phishing. Mais, ce type de cyberattaque se perfectionne de plus en plus, comme vient de l’annoncer l’Office fédéral de la cybersécurité (OFSC), alertant sur «une augmentation significative du nombre de signalements de phishing utilisant de fausses notifications de colis», les fraudeurs se faisant passer pour DPD ou La Poste suisse.
En avril 2025: Perfides, high-tech et très subtiles, les arnaques sur les plateformes de petites annonces explosent
Exploitation du chiffrement
La vague d’attaques actuelle utilise de manière ciblée des protocoles de messagerie modernes tels que «iMessage» d’Apple et «Rich Communication Services» (RCS) d’Android. Contrairement aux SMS traditionnels, ces messages sont chiffrés de bout en bout. «Ce chiffrement, qui est en réalité une fonctionnalité de sécurité destinée à protéger la vie privée, est exploité de manière stratégique par les cybercriminels. Il empêche les opérateurs de téléphonie mobile de scanner le contenu des messages à la recherche de liens malveillants et de les bloquer. Les escrocs contournent ainsi une ligne de défense importante et s’assurent que leurs messages atteignent très probablement les terminaux des victimes potentielles», avertit l’OFSC.
Les attaquants utilisent un autre subterfuge, une fonctionnalité du RCS qui permet de donner un nom personnalisé aux messages groupés. «Les victimes reçoivent ainsi une notification qui leur donne l’impression d’avoir été ajoutées à un groupe officiel tel que «Informations de livraison postale». Cela semble beaucoup plus légitime qu’un simple message provenant d’un numéro étranger inconnu et réduit le seuil d’inhibition des destinataires», selon la Confédération.
Demande de réponse
Il y a une autre astuce, et on l’a vu dans l’exemple en début d’article. Comme le précise l’OFSC, les systèmes d’exploitation modernes désactivent les liens contenus dans les messages provenant d’expéditeurs inconnus afin d’empêcher les utilisateurs d’accéder accidentellement à des sites de phishing. «Les fraudeurs demandent donc aux victimes de répondre «Y» au message. Cette action est interprétée par le système d’exploitation comme une preuve de confiance, après quoi le lien malveillant, auparavant inactif, est activé et peut être cliqué. Les escrocs incitent ainsi leurs victimes à réduire activement la sécurité de leur propre appareil», écrivent les autorités.
Ensuite, en cliquant sur le lien, l’utilisateur est redirigé vers une fausse page du site web officiel du service de livraison de colis, conçue de manière professionnelle. Sous prétexte de frais de réexpédition minimes, le site demande alors les données de la carte de crédit et d’autres informations personnelles, détaillent les autorités.
D'autres tactiques: Attention, les arnaques par SMS se perfectionnent et se multiplient
Une nuée de conseils
La plus grande prudence est ainsi requise et les autorités livrent comme souvent une kyrielle de conseils. Il faut ainsi être extrêmement méfiant lorsque l’on reçoit des notifications inattendues concernant un colis par SMS, «iMessage» ou RCS, même si l’on attend effectivement un colis. Il ne faut ouvrir aucun lien ni aucune pièce jointe dans les messages suspects. De plus, il ne faut pas répondre au message, même en écrivant «STOP», car une réponse indique aux fraudeurs que votre numéro est actif.
En parallèle, il est recommandé d’accéder manuellement au site web officiel du service de livraison dans le navigateur (de préférence sur ordinateur) et de saisir le numéro d’envoi éventuel. Il ne faut jamais utiliser les liens ou les coordonnées contenus dans le SMS.
Every time Apple holds one of its keynotes, we think to ourselves, "Maybe this is the year they'll kill off the iPod classic." Finally, after a years-long stay of execution, Apple's oldest living media player is going the way of the dodo. The company...
