Accéder au contenu Cybermalveillance.gouv.fr Assistance et prévention du risque numérique
imprimer la page

L’escroquerie à la fausse commande

Publié le 02 Nov 2021

hameçonnage phishing prevention sensibilisation phishing

Temps de lecture : 24 min

Vous avez reçu un message électronique (e-mail) ou un SMS qui vous confirme une commande que vous n’auriez pas effectuée ? Ce message semble provenir d’une grande enseigne de vente en ligne, d’un service de paiement ou encore de votre opérateur téléphonique. Il mentionne une adresse de livraison qui n’est pas la vôtre et propose un lien pour annuler la commande vers un site Internet qui vous demandera de renseigner des informations personnelles et des coordonnées de carte bancaire pour un soi-disant remboursement. Attention ! Vous êtes fort probablement face à une tentative d’escroquerie à la fausse commande.

Cybermalveillance.gouv.fr observe régulièrement des campagnes d’hameçonnage sur le thème de la fausse commande, en particulier lors des périodes de forte activité du commerce en ligne. En effet, les fêtes de fin d’année, les soldes ou encore le Black Friday sont des moments très prisés des cybercriminels pour ce type de tentatives d’escroquerie. Leur objectif ? Dérober des informations personnelles et de carte bancaire pour en faire un usage frauduleux.

Cet article analyse cette menace et prodigue des conseils pour y faire face :

« Comment reconnaître un mail de phishing ou d’hameçonnage ? » – Consomag réalisé en partenariat avec l’INC.

1. Comment se déroule l’escroquerie à la fausse commande ?

L’hameçonnage (phishing en anglais) est une technique frauduleuse qui vise à usurper l’identité d’une marque ou d’une organisation connue pour inciter la victime à fournir des informations confidentielles et personnelles ou professionnelles (identité, mot de passe, données bancaires…).

Dans le cadre de l’hameçonnage à la fausse commande, les victimes reçoivent un courriel (e-mail), ou plus rarement un SMS, qui semble provenir d’une grande enseigne de vente en ligne (Amazon,Boulanger, Cdiscount, Darty, FNAC,…), de la boutique en ligne d’un opérateur téléphonique (Orange, SFR…), d’un service de paiement tel que PayPal, ou encore d’un service de livraison de repas à domicile comme Uber Eats.

Le courrier électronique a souvent pour objet la confirmation ou l’expédition d’une commande. Par exemple, « La commande n°XXXX-YYY-Z vient de vous être envoyée », « Confirmation de votre commande », « Votre commande [nom de l’enseigne] », « Reçu pour votre paiement » ou plus simplement « Infos », « Votre commande », etc.

Le nom de l’expéditeur affiché peut lui aussi être trompeur. Il s’agit en général du nom de l’entreprise dont l’identité est usurpée et/ou de l’utilisation de mots clefs tels que « Service client », « Support »…, pour tromper la vigilance de la victime et détourner son attention de la véritable adresse e-mail de l’expéditeur.

Exemples de noms d’expéditeur et d’intitulés de messages frauduleux :

Message usurpant l’identité de SFR adressé à une adresse courriel @sfr.fr

SMS usurpant l’identité de Boulanger

Ce message frauduleux usurpe l’identité d’une entreprise telle que celles citées ci-avant et se présente généralement comme un récapitulatif d’une commande similaire à celui qui pourrait être reçu suite à un véritable achat auprès de cette enseigne : numéro de commande, annonce de sa validation, de sa préparation en cours ou de son expédition, détails des produits achetés et de leur prix, total de la commande, type de moyen de paiement utilisé, etc. Bien souvent, les cybercriminels ont réalisé ce faux message à partir d’un véritable courrier électronique de confirmation de commande afin de rendre le plus crédible possible leur tentative d’escroquerie.

Dans le corps du message, figurent également une adresse de livraison et l’identité du destinataire de la commande qui ne sont pas celles de la victime qui reçoit le message. Dans de nombreux cas, le message affiche en plus une adresse de facturation qui est la vraie adresse postale de la victime (voir capture d’écran ci-après).

Ce type de message frauduleux vise à faire paniquer la victime confrontée à une commande qui, en réalité, n’existe pas, et la pousse à essayer de l’annuler avec précipitation. Les escrocs essaient ainsi d’amener la victime à penser qu’une personne a usurpé son identité pour effectuer une commande à son propre compte, que son espace personnel sur le site de vente a été piraté ou encore qu’elle est victime d’une fraude à la carte bancaire ou d’un autre moyen de paiement.

Le message contient généralement une mention qui informe que la commande peut encore être annulée et présente un lien bien visible avec un intitulé tel que « Annuler ma commande » ou « Je n’ai pas autorisé cet achat ».

Exemples de messages frauduleux :

Message électronique usurpant l’identité de Darty et personnalisé avec les informations de la victime

Le lien malveillant oriente alors la victime vers un site Internet frauduleux qui usurpe l’identité visuelle de l’entreprise qui aurait adressé le message : marque, logo, graphisme du site légitime… Autant d’éléments qui visent à tromper la vigilance de la victime.

L’adresse du site frauduleux peut même être conçue pour ressembler fortement à celle de l’enseigne usurpée en commençant par l’adresse légitime du site et ainsi abuser les victimes qui ne consulteraient que le début de l’adresse.

Exemple d’adresse de site frauduleux aux couleurs de la FNAC

Sur ce site Internet créé par les escrocs, des informations personnelles sont généralement demandées : identité, adresses postale et électronique, numéro de téléphone… Parfois, ces éléments sont déjà préremplis avec les véritables informations personnelles de la victime (voir capture d’écran ci-après). Il est par la suite systématiquement demandé à la victime de renseigner ses coordonnées de carte bancaire afin d’obtenir le supposé remboursement de la commande qu’elle n’a pas passée.

En remplissant ce formulaire, la victime transmet ses informations personnelles et bancaires aux escrocs qui pourront en faire un usage frauduleux.

Exemples de pages Internet frauduleuses d’escroquerie à la fausse commande :

Formulaire d’hameçonnage aux couleurs de la FNAC
Site Internet d’hameçonnage usurpant l’identité de Darty
Site Internet d’hameçonnage usurpant l’identité de Darty présentant un formulaire prérempli avec des informations personnelles de la victime

À noter que dans le cas d’une escroquerie à la fausse commande usurpant l’identité d’un service de paiement (voir aussi notre article sur l’hameçonnage bancaire) ou d’un service de livraison de repas, le site d’hameçonnage vise également souvent à dérober les identifiants de connexion au compte de la victime.

Site Internet d’hameçonnage usurpant l’identité de Paypal

Variante de l’escroquerie à la fausse commande

Cybermalveillance.gouv.fr a observé des messages électroniques (e-mails) et SMS annonçant une fausse commande qui contenaient un fichier en pièce jointe ou un lien dont l’ouverture menait à l’installation d’un virus permettant, par exemple, aux escrocs de prendre le contrôle de la machine de la victime.

Soyez vigilant, n’ouvrez pas les pièces jointes d’un message qui vous paraît douteux, car inattendu ou provenant d’un expéditeur inhabituel.

Différences et similitudes avec l’escroquerie à la livraison de colis

Un autre type d’hameçonnage similaire à l’escroquerie à la fausse commande vise à faire croire à la victime qu’un colis doit être livré, mais qu’il reste à payer une somme d’argent pour le faire arriver à destination. Elle repose sur l’usurpation d’identité de services de livraison tels que La Poste, Colissimo, DPD, Chronopost, UPS…

Ce type d’arnaque se différencie de l’escroquerie à la fausse commande par le fait qu’elle ne donne aucune information sur l’expéditeur ou le destinataire du colis. Toutefois, l’objectif des cybercriminels est généralement le même : dérober des informations personnelles et bancaires, voire infecter des appareils avec un virus.

Pour en savoir plus, retrouvez notre article sur les escroqueries à la livraison de colis.

2. Quelles sont les conséquences de ce type d’hameçonnage ?

Sur les sites Internet frauduleux, les informations communiquées par la victime sont récupérées par les escrocs qui pourront les utiliser directement ou alors les revendre à d’autres cybercriminels qui en feront usage à leur tour. Citons, par exemple, la fraude à la carte bancaire, les tentatives d’usurpation d’identité ou d’hameçonnage ciblé sur la victime.

3. Comment ont-ils eu votre adresse de messagerie, votre numéro de téléphone, voire d’autres informations personnelles ?

Pour obtenir votre adresse de messagerie ou votre numéro de téléphone, les escrocs peuvent recourir à différentes méthodes comme l’hameçonnage (voir notre définition au point 1.).

Par ailleurs, votre adresse de messagerie et votre numéro de téléphone, ainsi que votre adresse postale, circulent déjà probablement sur Internet. En effet, vous les avez déjà renseignés sur différents sites Internet ou les utilisez régulièrement pour vous identifier et communiquer. Certains sites ont revendu ou échangé leurs fichiers clients avec différents partenaires, dont certains peu scrupuleux, dans des objectifs marketing. Ces fichiers sont aussi parfois dérobés ou récupérés par des cybercriminels pour être utilisés dans des campagnes frauduleuses, pour des attaques par hameçonnage, à l’instar de l’escroquerie à la fausse commande.

Ces informations dérobées circulent entre cybercriminels sous forme de fichiers qu’ils s’échangent ou se revendent.

Une escroquerie souvent personnalisée

Alors que la majorité des campagnes d’hameçonnage consistent à envoyer en masse des messages impersonnels, Cybermalveillance.gouv.fr observe régulièrement des campagnes d’escroquerie à la fausse commande dont les messages contiennent des informations personnelles appartenant aux victimes (nom, prénom, adresses postale et électronique) mentionnées comme informations de facturation. Lorsque la victime clique sur le lien malveillant contenu dans le message, elle est orientée vers un site Internet d’hameçonnage contenant en général un formulaire prérempli avec ces mêmes informations personnelles.

Ces cas d’hameçonnage illustrent la capacité de certains cybercriminels à se procurer des fichiers riches en informations personnelles et de les exploiter afin de crédibiliser encore plus leurs tentatives d’escroquerie. Elles peuvent être d’autant plus redoutables lorsque les destinataires des messages d’hameçonnage sont effectivement clients de l’entreprise dont l’identité a été usurpée.

4. Que faire si vous recevez un message d’hameçonnage à la fausse commande ?

En préalable, sachez qu’il est fort peu probable qu’un site Internet vous propose de manière aussi explicite d’annuler une commande dans un message de confirmation d’achat.

Plus généralement, tout message alarmant et pouvant représenter un caractère d’urgence doit particulièrement éveiller votre vigilance.

  1. Au moindre doute, ne donnez pas suite et contactez directement le site de vente ou le service de paiement concerné.
    Si vous êtes client de l’enseigne concernée, connectez-vous directement à votre espace privé sur le site Internet officiel par un lien que vous aurez-vous même créé ou via son application mobile, et vérifiez l’historique de vos commandes.
    Si vous n’obtenez pas confirmation de la commande annoncée, considérez qu’il s’agit d’une tentative d’arnaque.

  2. Au moindre doute également, n’ouvrez pas les courriels ou leurs pièces jointes et ne cliquez jamais sur les liens. Tous nos conseils et nos recommandations sur l’hameçonnage (phishing en anglais).

  3. Si vous avez cliqué sur le lien, vérifiez l’adresse du site qui s’affiche dans votre navigateur. Si cela ne correspond pas exactement au site concerné, il s’agit certainement d’un site frauduleux. Il suffit parfois d’un seul caractère changeant pour vous tromper. En cas de doute, ne fournissez aucune information et fermez immédiatement la page correspondante.

  4. Signalez tout message (mail) ou site douteux à Signal Spam. S’il s’agit d’un SMS, signalez-le sur la plateforme 33 700 ou par SMS au 33 700 (service gratuit). Ces services feront bloquer l’émetteur du message.

  5. Signalez l’adresse du site d’hameçonnage à Phishing Initiative qui demandera le blocage de ce site.

  6. Signalez également les messages et sites douteux aux entreprises dont l’identité est usurpée. Ces sociétés disposent généralement d’adresses de contact par messagerie dédiées pour recevoir des informations sur les fraudes les concernant et agir afin de faire supprimer les sites frauduleux. Par exemple :
    FNAC / Darty : abuse@fnacdarty.com
    Boulanger : alertefraudes@boulanger.com
    CDiscount : stop-spoof@cdiscount.com
    Amazon : stop-spoofing@amazon.com
    Paypal : spoof@paypal.com
    Orange : abuse@orange.fr
    SFR : emailsuspect@sc.sfr.fr

  7. Signalez les faits sur la plateforme de signalements dédiée du ministère de l’Intérieur : Internet-signalement.gouv.fr.

5. Et si vous en êtes victime ?

  1. Faites opposition immédiatement. Si vous avez communiqué des éléments sur vos moyens de paiement ou si vous avez constaté des débits frauduleux sur votre compte, prévenez votre banque et faites opposition immédiatement auprès de votre banque ou via le service interbancaire d’opposition à carte bancaire au 0 892 705 705 (ouvert 7 jours/7 et 24h/24), numéro surtaxé : coût d’un appel vers un numéro fixe + 0,34 € TTC/min, depuis un téléphone fixe ou mobile.

  2. Changez immédiatement vos mots de passe : si vous avez malencontreusement communiqué un mot de passe, changez-le immédiatement sur le site ou service concerné, ainsi que sur tous les autres sites ou services sur lesquels vous utilisiez ce mot de passe compromis.

  3. Conservez les preuves et, en particulier, le message malveillant reçu.

  4. Si vous constatez des opérations frauduleuses réalisées avec votre carte bancaire, signalez-les auprès de la plateforme Perceval du ministère de l’Intérieur. Ce service permet aux victimes de fraude à la carte bancaire de signaler en ligne l’escroquerie dont elles ont été victimes, et ce, même si elles ont été remboursées par leur banque. Votre signalement aidera les autorités à identifier les auteurs de ces fraudes. À noter que le signalement sur la plateforme Perceval ne se substitue pas au dépôt de plainte.

  5. Déposez plainte au commissariat de police ou à la brigade de gendarmerie ou par écrit au procureur de la République du tribunal judiciaire dont vous dépendez en fournissant toutes les preuves en votre possession.
    Si vous êtes un particulier, vous pouvez être accompagné gratuitement dans cette démarche par l’association  France Victimes au 116 006 (appel et service gratuits), qui opère le numéro d’aide aux victimes du ministère de la Justice. Service ouvert 7 jours sur 7 de 9h à 19h.

  6. Demandez à votre banque le remboursement d’éventuelles opérations frauduleuses. Certaines banques demandent la preuve du dépôt de plainte ou le récépissé de signalement Perceval pour instruire votre demande. Notez que ce remboursement ne peut pas être considéré comme acquis s’il résulte d’une négligence de votre part.

  7. Signalez le message reçu et le site d’hameçonnage aux différents services présentés au chapitre précédent.

  8. Pour être conseillé dans vos démarches, contactez la plateforme Info Escroqueries du ministère de l’Intérieur au 0 805 805 817 (appel et service gratuits). Le service est ouvert de 9h à 18h30 du lundi au vendredi.

6. Quelles infractions peuvent-être retenues contre les cybercriminels ?

En fonction du cas d’espèce, les infractions suivantes peuvent être retenues :

Escroquerie (article 313-1 du code pénal) : l’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. Délit passible d’une peine d’emprisonnement de cinq ans et de 375 000 euros d’amende.

Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 du code pénal) : une telle collecte constitue un délit passible d’une peine d’emprisonnement de cinq ans et de 300 000 euros d’amende.

Contrefaçon et usage frauduleux de moyen de paiement (articles L163-3 et L163-4 du code monétaire et financier) : délit passible d’une peine d’emprisonnement de sept ans et de 750 000 euros d’amende.

Au-delà de l’arnaque à la livraison de colis, les cybercriminels multiplient les tentatives d’escroquerie en lien avec le commerce en ligne, particulièrement lors des périodes promotionnelles. Fausses annonces ou promotions, fausses commandes, faux sites Internet marchands, hameçonnage (phishing) par SMS, téléphone ou courriel (email), faux service après-vente… Retrouvez nos 7 conseils pour éviter de vous faire escroquer.

A lire aussi
Qu’est-ce que le phishing ou hameçonnage ?
Qu’est-ce que le phishing ou hameçonnage ?
Voir l’actualité

  1. Diagnostiquer un incident

    Vous pensez être victime d’un piratage ou d’une attaque informatique ?

    Démarrer un diagnostic
Avez-vous trouvé cet article intéressant et utile ?
* le commentaire ne sera pas visible aux yeux de tous

AIDE RECOMMANDEE

QUESTIONS REPONSES - Contextualisées

QUESTIONS GENERALES