"Ce message n'a pas pu être délivré" : ce mail de phishing est redoutable
Une campagne de phishing redoutable cible actuellement les internautes. Elle prend la forme d'un faux e-mail d'échec de livraison d'un message, qui dissimule en réalité une arnaque visant à subtiliser vos données personnelles et bancaires.
Depuis plusieurs jours maintenant, de nombreux internautes reçoivent un étrange mail dans leur messagerie électronique, dont l'objet est "Delivery Status Notification Failure" ou "Mail Delivery System" (soit "message d'erreur" ou "message du système d'envoi" en français) et qui semble venir de Google lui-même. De par sa présentation, il semble s'agir d'une banale notification d'erreur technique, mais sous cette façade se cache une vaste campagne de phishing visant à collecter les données personnelles et bancaires des utilisateurs naïfs, comme l'alerte BFMTV.
Mail non délivré : une campagne de phishing deux-en-un
Un e-mail signifiant une erreur de livraison inspire confiance plutôt que méfiance. Les fraudeurs utilisent cette technique pour inciter au clic ou à l'ouverture sans éveiller les soupçons, mais aussi pour passer outre les défenses de Google et ne pas atterrir dans les spams. Pour cela, les escrocs ont recours à une petite astuce : ils envoient le mail à leur victime, mais aussi à une seconde adresse mail, sauf que celle-ci ne se termine pas par "@gmail.com", mais par "@google.com". C'est cette erreur volontaire qui oblige Google à le renvoyer à la victime en indiquant qu'il y a eu un souci.
Mais alors, où se situe le danger ? Tout simplement dans le message en lui-même, qui promeut un "kit d'urgence voiture" qui serait offert par Vinci Autoroutes. Bien évidemment, le lien inclus renvoie vers un site frauduleux permettant d'en obtenir un gratuitement, à condition de payer les frais d'envoi. La victime est alors invitée à renseigner ses informations personnelles (nom, prénom, adresse) ainsi que ses informations bancaires, mais aussi le numéro d'immatriculation de sa voiture et de carte grise. Bref, tout ce qu'il faut pour une usurpation d'identité et un détournement d'argent !
Si jamais vous recevez ce message, transférez-le immédiatement à Signal Spam, Pharos, ou directement au 33 700, la plateforme spécialisée dans le signalement d'arnaques. Vous pouvez également les signaler auprès du site internet-signalement.gouv.fr. Bloquez ensuite l'expéditeur pour ne plus être importuné et supprimez le message en question. Et si vous avez malheureusement communiqué vos données personnelles ou bancaires, contactez immédiatement les autorités via la plateforme Cybermalveillance.gouv.fr ou directement dans un poste de police afin de porter plainte. Et n'oubliez pas de prévenir votre banque pour éviter les paiements inopinés !