Les fraudeurs imitent habilement l’adresse de l’émetteur pour se faire passer pour une société de livraison, établissant ainsi un lien de confiance avec leur victime. Pour les entreprises, la défense est quasiment impossible, les laissant en tant que victimes collatérales.
Cette tromperie, qui utilise l’identité de Chronopost, est parfaitement exécutée, contournant même les outils de filtrage de la messagerie. Les campagnes de phishing avec des noms de services de livraison sont devenues courantes, mais désormais, les cybercriminels vont plus loin en proposant des formations en ligne ou des offres alléchantes sur des sites d’e-commerce, voire la possibilité de gagner des cadeaux, tout en se faisant passer pour la société de livraison.
Le « spoofing » : quand l’adresse électronique officielle devient une arme d’usurpation
Pour inciter les utilisateurs à cliquer sur des sites frauduleux, les escrocs contournent la première ligne de défense en adoptant une adresse d’émetteur qui inspire davantage confiance. En cas de suspicion, la première réaction généralement observée est de vérifier l’origine de la communication. Une adresse e-mail suspecte, composée de chiffres et de lettres aléatoires, constitue rapidement un signal d’alerte.
Chronopost, conscient de ces risques, fournit des recommandations sur son site pour repérer des messages potentiellement frauduleux. L’entreprise conseille notamment de vérifier l’adresse e-mail de l’expéditeur, mettant en avant l’adresse « ne-pas-repondre@chronopost.fr » comme celle utilisée de manière systématique pour communiquer avec ses clients. Cependant, les escrocs détournent cette pratique en utilisant cette adresse légitime pour masquer leurs e-mails d’arnaque. Ils adoptent des émetteurs tels que UPS, suivi de l’e-mail « @ne-pas-repondre@chronopost.fr », ou Temu, un site d’e-commerce chinois avec une adresse électronique similaire.
Interpellé à ce sujet, Chronopost France reconnaît que « cet e-mail est bel et bien une adresse officielle de communication de Chronopost envers ses destinataires, mais ces e-mails ne sont pas des spams émis par Chronopost. » L’entreprise explique cette usurpation en soulignant que les pirates utilisent des logiciels facilement accessibles sur Internet pour effectuer du « spoofing » ou de l’usurpation d’adresse e-mail.
De plus, il n’y a aucun contrôle de l’émetteur pour les boîtes e-mails du grand public qui reçoivent ces faux e-mails, selon l’analyse de Jean-Jacques Latour, responsable expertise à Cyber Malveillance, le dispositif national d’assistance aux victimes.
Une adresse expéditeur facile à imiter
En tant que victime collatérale, la filiale de La Poste se dégage de toute responsabilité en soulignant que sur Internet, il est possible de choisir librement l’adresse e-mail de l’expéditeur, même si elle n’appartient pas réellement à la personne. Selon eux, il revient aux fournisseurs de messagerie de vérifier l’authenticité des e-mails entrants et, en cas de doute, de les refuser ou de les diriger vers la boîte de spam. Adrien Gendre, directeur de Vade, spécialiste français de la protection des boîtes e-mails, confirme que Chronopost a mis en place des dispositifs efficaces pour bloquer les usurpations manifestes. Cependant, il constate que, selon leur analyse, l’e-mail aurait dû être rejeté par les serveurs de messagerie.
Les escrocs, cependant, se montrent astucieux. Ils ont délibérément choisi Chronopost comme émetteur pour tromper les filtres, exploitant le fait que l’adresse e-mail de Chronopost est connue pour envoyer légitimement des milliers d’e-mails par jour, qui ne sont pas automatiquement vérifiés ou bloqués par les serveurs d’e-mails. Jean-Jacques Latour souligne que cette stratégie serait difficile à mettre en œuvre avec l’adresse e-mail d’un particulier ou d’une petite structure.
Mesures préventives essentielles : gardez le contrôle en toute circonstance
Une fois convaincue, la victime est dirigée vers un site frauduleux à travers plusieurs détours. Les escrocs mettent en œuvre leur stratégie d’escroquerie en appliquant le tarif maximal. Durant ce processus, ils recueillent des informations personnelles, incluant ironiquement l’adresse e-mail utilisée pour contacter la cible, ainsi que les coordonnées bancaires. De manière subreptice, la victime est également inscrite à un abonnement d’environ quarante euros tous les 14 jours.
Le principal conseil à suivre est de rester vigilant face aux sollicitations inattendues et de ne pas faire confiance à une adresse e-mail qui pourrait être compromise par des individus malveillants. Une lueur d’espoir dans ce contexte est l’annonce de Gmail de Google et de Yahoo !, qui prévoient de renforcer l’authentification des courriels à partir du mois de février. Ces services rejetteront ainsi tout e-mail ne respectant pas les protocoles de signatures, y compris les spams les plus évidents.