La Poste : Attention à l'arnaque au faux avis de passage dans votre boîte aux lettres

Une première arnaque au faux colis de La Poste par SMS

C'est une arnaque qui avait fait parler d'elle en début d'année avec la réception d'un SMS reçu sur son mobile vous demandant des frais de port pour une livraison qui n'avait jamais eu lieu avec comme texte : « votre colis est arrivé sur son site de distribution, des frais ont été appliqués ». Le lien en question redirigeait vers le site de La Poste, mais la redirection présente dans l'URL du site faisait que l'internaute était aussitôt renvoyé sur le site frauduleux. Car le problème à l’époque résidait déjà dans le fait dont le site Internet de La Poste gérait les redirections passées en arguments dans l’URL avec « switch-site ? switchSiteRequestURI= ».

Un faux avis de passage, mais une vraie arnaque

Et depuis quelques jours, l’arnaque fait de nouveau parler d’elle avec une méthode qui a totalement changé. Au lieu de recevoir un SMS sur son Smartphone, les arnaqueurs ont décidé de placer la barre plus haute en mettant de faux avis de passage dans les boites aux lettres, comme le ferait votre facteur. C’est Flavio Perez qui a découvert cette nouvelle manière de procéder en expliquant sur Twitter : « Oh on dirait une belle arnaque sur le dos de La Poste. Reçu dans ma boîte. Très facile d’y croire et finir par donner ses infos de carte de crédit ! »

Oh on dirait une belle arnaque sur le dos de La Posre (@lisalaposte comment on fait?. Reçu dans ma boîte. Très facile d’y croire et finir par donner ses infos de carte de crédit ! pic.twitter.com/5V6WlL43wI

— Flavio Perez (@flablog) August 28, 2022

L’astuce résidait dans le fait que la personne devait scanner le QR Code pour directement accéder à l’URL officielle du site modifiée, les arnaqueurs avaient même pris soin de mettre un vrai code de suivi : « 6Q01929938641 » qui semble toujours matcher et indique que le colissimo sera livré le lundi 27 septembre prochain, sauf que ce lundi-là, nous serons le 26 septembre. On pourrait presque parler d’un bug ou d’une faille à ce niveau. Ensuite, les arnaqueurs se servaient d’une autre faille pour rediriger les internautes vers leur propre site de paiement en passant l’adresse en paramètre dans « switchSiteRequestURI ».



Depuis hier, la faille de redirection a été corrigée, sans doute avec un peu trop de précipitation. Il est désormais impossible de passer des URL de sites Internet en paramètre, mais par contre, la page n’est pas du tout redirigée vers la page d’accueil du site et indique en paramètre qu’elle peut être suivie et indexée. Il vous est possible de passer n’importe quoi en paramètre final, tout ce qui vous passe par la tête en fait, comme : « bougeraveclaposte » ou l’adresse du site de DHL.

La Poste : Un géant numérique aux pieds d’argile ?

La Poste semble rencontrer depuis quelques mois de plus en plus de problèmes de sécurités avec ses services en ligne, en mai dernier elle avait dû couper l’accès aux protocoles POP et IMAP par mesure de sécurité, suite à une tentative de piratage. En juillet dernier, le site Internet La Poste Mobile avait été victime d’un ransomware et le site Internet était resté en maintenance pendant plusieurs jours ( voir : La Poste Mobile victime d’un ransomware le site Internet en maintenance ). Cette fois, c'est par le biais d’une URL légitime de La Poste qu'une arnaque aux frais de livraisons a pu être mise en place.

Les faux avis de passage vont-ils perdurer ?

Dans les prochaines semaines, nous devrions voir fleurir dans plusieurs villes de France ce genre de faux avis, cela a sans aucun doute donné des idées d'argent facile à plusieurs escrocs, même si cette fois-ci, leur pays de résidence est la France et qu'il sera plus simple de les rechercher et surtout, ils ne pourront plus se faire passer pour le site officiel, sauf à découvrir une nouvelle faille de sécurité.

Pour le moment, cette arnaque au faux avis de passage ne semble avoir été distribuée que dans les boites aux lettres de la ville de Montpellier, le site Internet frauduleux étant désactivé depuis.