Faux avis de passage : une nouvelle arnaque exploite une faille de sécurité du site La Poste

Une nouvelle forme d'arnaque, à la fois surprenante et ingénieuse, se répand en France : elle débute dans votre boîte aux lettres, avec un faux avis de passage de La Poste, et elle se termine sur Internet où les cybercriminels cherchent à récupérer vos coordonnées bancaires. Que se passe-t-il ?

Pour la rentrée 2022, une nouvelle forme d'arnaque semble voir le jour, basée sur un faux avis de passage que vous recevrez directement dans votre boîte aux lettres. À première vue, il semble légitime, et il faut avouer que quand il s'agit d'un avis de passage de La Poste, et que l'on a le morceau de papier dans les mains, on ne pense pas directement à une arnaque ! L'avis de passage contient le numéro de suivi utilisé par La Poste à titre d'exemple sur son site Internet : 6Q01929938641. Mais bon, sur le coup, on ne peut pas le deviner.

C'est l'utilisateur Flavio Perez qui a relayé cette arnaque sur Twitter, et rapidement, beaucoup de personnes ont pris part à la discussion. Regardez l'image ci-dessous, et vous verrez que l'avis de passage peut sembler légitime à première vue.

Oh on dirait une belle arnaque sur le dos de La Posre (@lisalaposte comment on fait?. Reçu dans ma boîte. Très facile d’y croire et finir par donner ses infos de carte de crédit ! pic.twitter.com/5V6WlL43wI

— Flavio Perez (@flablog) August 28, 2022

Le lien précisé sur le faux avis de passage et le QR code renvoient tous les deux vers le site officiel de La Poste, avant de vous rediriger vers le site malveillant qui s'appuie sur le domaine "laposteaide.fr". En fait, cette attaque exploite une vulnérabilité du site de La Poste qui permet d'être redirigé vers n'importe quelle adresse. Une fois sur le site malveillant, vous devez renseigner vos coordonnées bancaires dans l'optique de bénéficier d'une nouvelle livraison de votre colis. On peut imaginer également que certaines personnes, méfiantes, sont allées directement dans une agence La Poste.

À l'heure où j'écris ces lignes, la redirection fonctionne toujours. Par exemple, l'adresse ci-dessous me renvoie sur IT-Connect :

https://laposte.fr/switch-site?switchSiteRequestURI=https://www.it-connect.fr

Une aubaine pour les cybercriminels, car à partir d'un lien légitime, il devient possible de rediriger les victimes potentielles vers un site malveillant ! Désormais, le site malveillant "laposteaide.fr" est indisponible, ce qui est une bonne nouvelle et devrait permettre d'éviter que des personnes soient piégées. Néanmoins, nous ne savons pas si d'autres faux avis de passages en circulation redirigent vers un site différent. L'idéal, ce serait que La Poste corrige cette vulnérabilité sur son site Internet. Pour le moment, cette arnaque semble se répandre dans la ville de Montpellier. Méfiance.

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

See Full Bio