L'infrastructure derrière l'arnaque
Ces SMS ne viennent pas d'un adolescent dans un garage avec un téléphone prépayé. Derrière une campagne de phishing SMS professionnelle se trouve une infrastructure industrielle.
Les serveurs d'envoi en masse sont généralement hébergés hors de l'Union européenne — Ukraine, Moldavie, certains pays d'Asie du Sud-Est — ce qui complique la coopération judiciaire. Les numéros d'expéditeur sont des numéros burner renouvelés toutes les heures pour échapper aux listes noires. Les pages web frauduleuses sont hébergées sur des domaines enregistrés 24 à 48 heures avant la campagne, souvent via des registrars peu scrupuleux.
Le coût total d'une campagne clé en main — serveur, numéros, domaine, page clonée — est estimé entre 150 € et 300 €. Pour un taux de clic de 2 % sur 100 000 SMS envoyés, avec un taux de conversion (saisie des coordonnées bancaires) de 10 % des clics, le retour sur investissement est massif.
La page de phishing
La fausse page imite DHL, La Poste, Colissimo ou Chronopost avec une fidélité troublante : les bons logos, les bonnes couleurs institutionnelles, parfois même une barre de progression de livraison et un numéro de suivi généré aléatoirement mais qui ressemble à un vrai numéro.
La demande porte sur 1,99 € de « frais de douane » ou de « frais de réacheminement ». Le montant est délibérément bas — il ne déclenche pas l'alarme psychologique qui accompagne une transaction importante.
L'enjeu n'est pas ces 2 €. C'est votre numéro de carte à 16 chiffres, sa date d'expiration et le cryptogramme CVV au dos. Avec ces trois éléments, n'importe quel service de paiement en ligne peut être débité.
Ce qui se passe ensuite
En quelques heures après la saisie, votre carte fait l'objet de « tests » : des micro-transactions de 0,01 € à 0,50 € sur des plateformes qui acceptent les paiements sans authentification forte (certains services d'abonnement, pourboires, dons).
Une fois la carte validée comme active, des achats plus importants s'enchaînent. La technique préférée : l'achat de cartes-cadeaux Steam, Amazon ou Google Play, qui se convertissent en liquidités sur des marchés secondaires en quelques minutes, sans trace bancaire directe.
Récupérer son argent via une procédure de chargeback prend en moyenne 3 à 6 mois. Votre banque remboursera dans la quasi-totalité des cas — mais seulement si vous avez bien contesté les transactions dans les délais (13 mois maximum pour les paiements en France).
Comment ne plus se faire avoir
Quatre règles simples qui éliminent 95 % du risque :
- →Ne jamais cliquer sur un lien SMS de livraison — aller directement sur le site officiel du transporteur (laposte.fr, dhl.fr) et entrer manuellement le numéro de suivi reçu par le vendeur.
- →Vérifier l'URL avant de saisir quoi que ce soit : « laposte-colis-paiement.com » ou « colissimo-fr.net » ne sont pas La Poste. L'URL légitime est toujours laposte.fr.
- →Les vrais transporteurs ne demandent jamais de carte bancaire par SMS pour une livraison — c'est un marqueur absolu de fraude.
- →Signaler le SMS au 33700 (plateforme nationale anti-smishing de la GSMA) — cela aide à mettre hors service les numéros frauduleux plus rapidement.
Ces arnaques persistent parce qu'elles exploitent un contexte parfaitement plausible — nous commandons tous des colis, nous en attendons souvent plusieurs simultanément. La vigilance systématique sur tous les liens reçus par SMS, sans exception, est la seule vraie défense. Un lien dans un SMS de livraison : jamais de clic direct.
Activer la protection phishing