Black Friday : arnaques au colis, annulations de commande... nos conseils pour éviter les pièges !

A partir du Black Friday et jusqu'à Noël, les e-commerçants réaliseront environ 30% de leur chiffre d'affaires de l'année. Ce pic d'activité est une aubaine pour les cybercriminels, qui multiplient les attaques contre les consommateurs. A quoi s'attendre en 2021 ? Arnaques au colis, annulations de commande, fausse offre : La Tribune fait le point sur les pièges à éviter pour les consommateurs.
François Manens

6 mn

(Crédits : DR)

Les experts le répètent : l'industrie cybercriminelle est opportuniste. Le pic d'activité du e-commerce, qui démarre avec les soldes du Black Friday le 26 novembre et durera jusqu'à la fin de l'année, en est une parfaite illustration. Et pour cause : d'après une étude de Deloitte, en quatre semaines à peine, les acteurs du retail devraient réaliser pas moins de 30% de leur chiffre d'affaires annuel. Chaque année, cette période se caractérise par une avalanche d'attaques informatiques, et 2021, qui bat déjà tous les records de cyberattaques visant des entreprises et des particuliers, ne dérogera pas à la règle.

Le pic d'activité permet aux cybercriminels de viser deux catégories de cibles. D'une part, les consommateurs noyés d'informations commerciales et donc plus vulnérables aux pièges tendus par les phishings (hameçonnage), ces arnaques par courriel qui visent à voler de l'argent ou des données personnelles. D'autre part, les entreprises débordées, qui doivent gérer en simultané un pic d'activité et la protection de leurs infrastructures.

Plus de crédibilité pour les phishings envoyés aux consommateurs

Degré zéro de la cyberattaque, le phishing consiste à envoyer des courriels imitant une entreprise ou une personne, dans le but de dérober des informations. Le plus souvent, les malfaiteurs ont pour objectif de récupérer les identifiants de la victime ou ses numéros de carte bancaire.

Pour créer ces phishings - appelés hameçonnage en français -, un malfrat n'a pas forcément besoin d'avoir des compétences techniques. D'autres cybercriminels fournissent des modèles d'email et de site à copier, et certains vont même jusqu'à prendre en charge l'envoi des phishings. Quant à trouver des listes d'emails à cibler, c'est là aussi un jeu d'enfant. N'importe qui sachant où chercher peut en trouver gratuitement ou contre quelques euros.

A quelques exceptions près, les campagnes de phishing s'apparentent à de la pêche au filet. Les malfaiteurs envoient des milliers d'emails peu personnalisés (parfois le nom du destinataire y figure), et ils réussiront leur coup même s'ils parviennent à piéger ne serait-ce qu'une infime fraction de leurs cibles. Pour que leur techniques réussissent, ils doivent donc trouver des thèmes qui concerneront le plus de Français possible.

Trois scénarios nourris par les fêtes

Justement, l'e-commerce offre trois scénarios plausibles, que les cybercriminels exploitent de plus en plus.

  • L'arnaque au colis

Vous recevez un SMS ou un email qui prétend provenir d'une entreprise de livraison (DHL, Colissimo, Chronopost, FedEx...). Il vous indique qu'un colis est arrivé au dépôt, mais que vous devez régler des "frais de douane" ou un "affranchissement" pour finaliser la livraison, sans quoi le paquet sera renvoyé à l'expéditeur.

Ce genre de scénario se nourrit de l'augmentation des commandes en ligne liées aux fêtes de fin d'années, puisque les Français seront encore plus susceptibles de vraiment attendre un colis.

Gabriel de Brosses, directeur de la cybersécurité du groupe La Poste, révélait récemment à La Tribune que le nombre de ces arnaques avait plus que quadruplé entre 2020 et 2021, et qu'il s'attendait à un nouveau record sur les fêtes de fin d'année.

  • La fausse commande

Un email paraissant provenir de la Fnac, Darty ou encore Cdiscount récapitule un achat - de plusieurs centaines d'euros - que vous auriez fait. Problème : vous ne vous rappelez pas avoir effectué cette commande, et si votre nom figure sur la facturation, c'est un autre nom qui figure sur l'adresse de livraison. "Heureusement", l'email suggère que vous pouvez annuler la commande. Malheureusement, il vous emmènera vers un faux site où vous devrez remplir des informations, qui atterriront directement dans les mains des cybercriminels. La commande de l'email n'existait pas.

  • La fausse offre

Entre septembre et octobre 2020, l'entreprise de cybersécurité Kaspersky a relevé une multiplication par trois du nombre d'email de phishing qui imitent des pages de paiement en ligne, à plus d'1,9 million sur le mois d'octobre. Les pirates imitent des offres d'Amazon, eBay ou encore Alibaba, et espèrent convaincre la victime de payer pour un achat... qui n'existe pas. Si le piège fonctionne, les cybercriminels copieront les données bancaires, pour les exploiter à leur propre fin, ou pour les revendre à d'autres.

Avec l'augmentation des achats en ligne liés à la période, ces trois scénarios paraîtront plus crédibles à leurs destinataires, puisqu'ils seront plus susceptibles d'avoir réalisé un ou plusieurs achat en ligne dans les jours précédant la réception du phishing. D'après l'entreprise de cybersécurité Cybereason, « les consommateurs ont tendance à être moins attentifs aux offre promotionnelles qui paraissent trop belles pour être vraies" en temps normal" ».

3 conseils pour se protéger des phishings

Pas besoin de compétences en informatique pour éviter la majorité des pièges tendus. Quelques précautions d'hygiène numérique suffisent à les détecter, tant les phishings paraissent grossiers quand on prend le temps de les observer.

  • Dès qu'un site demande vos identifiants ou vos informations bancaires, posez-vous des questions

Suis-je bien sur le site officiel de l'entreprise ? Est-ce logique que je doive entrer mes informations bancaires ? Ai-je déjà été confronté à un scénario similaire ? Dans cette démarche, il est important de prendre son temps, car les cybercriminels jouent sur le sentiment d'urgence - il faudrait supposément agir très vite sans quoi quelque chose de négatif se produirait - pour précipiter votre décision. Si vous prenez quelques minutes pour analyser la situation (quitte à revenir au message plus tard), vous aurez plus de chances de voir les détails qui exposent son caractère malveillant, comme l'adresse de l'expéditeur, l'URL du site ou des fautes d'orthographe.

  • Faites-vous confiance au moindre doute

Si un site vous parait louche, il l'est sûrement. Une bonne vérification consiste alors à essayer d'accéder à la page sur laquelle vous être par le biais d'un moteur de recherche (Google, Bing, Qwant, Ecosia...). Par exemple, si une page aux couleurs de la Fnac vous montre une commande à annuler, essayez d'accéder au site officiel depuis un moteur de recherche, puis de vous connecter à votre compte depuis cette page. Si la commande n'y figure pas, c'est qu'elle n'existe pas. Si vraiment le doute persiste, appelez le service client de l'entreprise en question.

  • Réagissez vite si vous êtes tombés dans le piège

Vous êtes tombé dans le piège ? La situation peut encore être sauvée en réagissant vite. Si vous avez donné vos coordonnées bancaires, faites opposition au plus vite sur votre carte bancaire. L'écrasante majorité des banques disposent d'une option dans leurs applications et/ou d'une ligne téléphonique accessible 24h/24 pour le faire. Si vous avez donné votre mot de passe, changez-le sur tous les comptes sur lesquels vous l'utilisez pour éviter que le malfaiteur puisse y accéder.

François Manens

6 mn

Sujets les + lus

|

Sujets les + commentés

Commentaire 1
à écrit le 25/11/2021 à 13:40
Signaler
Les "pirates" ces gens qui pensent à la nature, non seulement les gens ne reçoivent rien mais en plus ils n'en ont plus le budget sauf pour les gens pathologiquement atteints.

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.