DHL - Votre colis a été livré - Escroquerie par e-mail

Les cybercriminels envoient des e-mails d'apparence convaincante qui se font passer pour des notifications de colis de DHL. À première vue, ils imitent des messages de livraison légitimes, mais il s'agit en réalité de tentatives d'hameçonnage frauduleuses visant à voler des identifiants de connexion et, par leur intermédiaire, d'autres comptes sensibles. Ces messages frauduleux ne sont associés ni à DHL, ni à aucun autre transporteur, entreprise ou prestataire de services légitime.

COMMENT FONCTIONNE L’ARNAQUE — L’APPÂT, LES PIÈCES JOINTES, LA RÉCOLTE

Les attaquants envoient des messages dont l'objet est « Avis d'expédition DHL : Avis d'arrivée de colis pour AWB n° 4014983405 » (la formulation varie). Le corps du message indique qu'un colis a été traité ou livré et renvoie les destinataires vers des pièces jointes pour obtenir les détails de l'expédition. Deux pièces jointes HTML accompagnent le message : des noms de fichiers différents, mais un contenu et une apparence identiques. Les pièces jointes arborent la marque DHL et un message du type : « Ce document est sécurisé et protégé / Une authentification par e-mail est requise. Connectez-vous avec votre adresse e-mail pour consulter le document. » Lorsqu'une victime saisit ses identifiants de messagerie sur cette page, les données sont récupérées par les hameçonneurs. Les identifiants ainsi collectés sont alors immédiatement utilisables pour accéder à la boîte mail de la victime et à tous les autres comptes liés à cette adresse e-mail.

SIGNAUX D’ALARME ROUGES ET IDENTIFICATEURS RAPIDES

• Adresse de l'expéditeur, pièces jointes inattendues ou message d'accueil générique malgré la mention des détails du colis.
• Pièces jointes HTML vous demandant de « vous connecter pour afficher » un document au lieu d'un PDF normal ou d'un lien de suivi du domaine officiel DHL.
• Formulation urgente vous incitant à vous authentifier ou à « vérifier » immédiatement.
• Incohérences dans l'image de marque, erreurs de grammaire ou liens qui ne renvoient pas vers un domaine DHL officiel.

POURQUOI CELA EST DANGEREUX — AU-DELÀ D’UN SEUL COMPTE

Un compte de messagerie compromis est une véritable porte d'entrée : les attaquants peuvent lire des messages privés, réinitialiser des mots de passe sur d'autres services, usurper votre identité auprès de vos contacts, demander de l'argent ou diffuser des logiciels malveillants et des liens malveillants vers votre carnet d'adresses et vos réseaux sociaux. Les comptes financiers qui utilisent les mêmes identifiants ou la même adresse e-mail pour la récupération sont particulièrement exposés : les fraudeurs peuvent initier des transactions, effectuer des achats ou demander des virements. L'escroquerie est également un vecteur de diffusion de divers logiciels malveillants (chevaux de Troie, rançongiciels, cryptomineurs) ou de fraudes secondaires (remboursement, avance de frais, assistance technique, sextorsion, etc.).

MESURES À PRENDRE IMMÉDIATEMENT

• Modifiez immédiatement le mot de passe du compte de messagerie exposé et activez l’authentification à deux facteurs (2FA).

• Pour chaque service qui utilise le même e-mail/mot de passe, modifiez ces mots de passe et activez la 2FA lorsque cela est possible ; traitez tout compte lié à cet e-mail comme potentiellement compromis.

• Informez les équipes d'assistance officielles des services financiers, des places de marché ou d'autres plateformes sensibles où votre adresse e-mail est utilisée. Signalez l'e-mail d'hameçonnage à votre fournisseur de messagerie et marquez-le comme tel.

• Analysez vos appareils avec des outils anti-malware à jour et vérifiez la boîte d'envoi/les éléments envoyés pour détecter les messages non autorisés ; informez vos contacts si des messages suspects ont pu être envoyés depuis votre compte.

COMMENT LES LOGICIELS MALVEILLANTS ET LES PIÈCES JOINTES S'INSTALLENT DANS LA CHAÎNE D'INFECTION

Le spam peut véhiculer des charges malveillantes sous de nombreux formats : pièces jointes HTML (comme dans ces attaques de phishing DHL), documents (PDF, fichiers Office, OneNote), archives (ZIP, RAR), exécutables (.exe), ou encore scripts et JavaScript. Certains types de fichiers nécessitent une seconde action de l'utilisateur pour déclencher le malware : activer des macros dans les fichiers Office, cliquer sur des liens intégrés ou ouvrir des pièces jointes dans OneNote. Une fois la charge active, le malware peut diffuser des chevaux de Troie, des rançongiciels ou des portes dérobées permettant un accès persistant et des vols supplémentaires.

LES RISQUES SONT RÉELS, L’ATTÉNUATION EST SIMPLE

Les e-mails « DHL — VOTRE COLIS A ÉTÉ LIVRÉ » sont des tentatives d'hameçonnage frauduleuses qui s'appuient sur des marques de confiance et des pièces jointes falsifiées pour inciter les utilisateurs à divulguer leurs identifiants. Ces messages ne sont affiliés ni à DHL ni à aucune organisation légitime. Se laisser piéger peut entraîner des atteintes à la vie privée, une usurpation d'identité, des pertes financières et une infection par des logiciels malveillants. Cependant, une action rapide (modification des mots de passe, activation de l'authentification à deux facteurs, notification du support) et une attitude prudente (ne pas ouvrir les pièces jointes suspectes, vérifier les liens) réduisent considérablement les risques.