Phishing MondialRelay puis faux service anti-fraude

L’histoire commence le 16/12/2024, 2 jours avant l’appel du brouteur avec la réception d’un SMS « Mondial Relay » m’indiquant que mon point de retrait n’avait pu réceptionner mon colis, de choisir une autre option de livraison (à domicile) avec un supplément à payer de 2,20 euros.
Je suis le lien et renseigne NOM Prénom du porteur de la CB, N° de CB, date d’expiration et cryptogramme au dos. Je crois que ça me demandait aussi ma date de naissance mais j’ai laissé le champ vide.

Pas d’opération à valider avec Sécuripass, bizarre mais ça peut arriver.

L’adresse de la jolie fausse page de Mondial Relay était https://echec-livraison-mondialrelay.com/

J’attends effectivement un colis très volumineux par Mondial Relay d’un jour à l’autre … je saute dans le piège la tête la première !

Pris d’un doute je vais sur l’appli de ma banque sur mon téléphone, je consulte le détail des opérations et pas de paiement pour 2,20€ ! Là je sais déjà que j’ai communiqué ma CB à un escroc. En principe je flaire les escroqueries à 1 kilomètre, et là, je mords à l’hameçon comme un bleu ! Je suis vert !

Je verrouille immédiatement ma CB dans l’appli de ma banque, j’aurai le temps de faire opposition plus tard.

Le 18/12/2024 je contacte ma banque pour faire opposition à la CB et en commander une nouvelle.

Et le même jour, un brouteur essaye de me joindre par téléphone. Je suis occupé, je ne réponds pas, je rappellerai plus tard. Mon téléphone a affiché « Mam Mob » en sonnant, c’est le portable de ma mère.

Quelques heures plus tard, dans mon journal d’appels je vois qu’un 0757833737 a essayé de me joindre 4 fois en une minute, à 13h33, je n’étais probablement pas à côté de mon téléphone … Je rappelle.

Un homme décroche en disant simplement « allo », je lui dis qu’il a essayé de me joindre et lui demande qui il est, il me répond que non il n’a pas essayé de me joindre et me demande qui je suis, je ne lui dis pas mon nom, et j’insiste, et là il finit par se présenter comme le service antifraude de « ma banque » qu’il nomme, me dit mon nom et mon prénom, me dit que j’ai cliqué sur un lien frauduleux dans un SMS d’hameçonnage, et qu’il y a eu une tentative de paiement de 450€ avec ma CB. je lui dis « Ah oui, et alors ? » , il me demande si je connaissais le solde de mon compte au moment de cette tentative, je lui dis « oui », il me demande quel était ce solde, je lui réponds que « c’est une question bizarre », je lui demande s’il m’appelle d’une agence, il me répond qu’il appelle de siège à Paris La Défense, il insiste poliment pour connaitre le solde de mon compte, je lui réponds que ça n’a aucune importance et que sa question n’est pas normale. Je lui dis « de toutes façons tout va bien puisqu’il n’y a pas eu d’opération » et là il raccroche net.

Une question : Comment font-ils pour afficher le nom d’un de mes contacts « récents » au lieu de leur numéro, lorsqu’ils appellent ?

La première fois on croit qu’on a rêvé ou mal vu, mais ça m’est déjà arrivé il y a 3 ou 4 ans, avec un autre téléphone …

Même s’il n’y a pas eu de conséquences, je crois que je l’ai échappé belle, et c’est vraiment flippant, ils ont une puissance de frappe incroyable !

Le 16/12/2024 le nom de domaine « echec-livraison-mondialrelay.com » est réservé, le même jour je reçois le SMS d’hameçonnage, je donne mes infos CB, je m’aperçois de mon erreur et je verrouille ma CB par internet, le soir même le site web d’hameçonnage n’est plus accessible, et la charge continue avec un vrai centre d’appel high-tech, qui affiche mes données de leur base d’après mon numéro quand ils prennent mon appel ! … je pense que ce n’est pas fini, donc le Trend-Micro Mobile Security que j’avais simplement installé sans jamais vraiment le paramétrer parce que pas le temps, je l’ai vraiment configuré à fond, et plutôt en mode parano. J’ai aussi installé le NordVPN puisque je le paye pour mon PC depuis 8 ans.

Si j’avais attendu d’être devant mon PC pour m’occuper de Mondial Relay tout ça ne me serait pas arrivé.

En général, tout ce qui est navigation, achats en ligne etc, c’est sur le PC car un écran de 15", un clavier et une souris c’est quand-même le minimum pour voir ce que l’on fait !

En toute tranquillité d’ailleurs, parce-que j’utilise :
Trend Micro Maximum Security, bien configuré,
NordVPN tout le temps,
CCleaner Pro qui nettoie les navigateurs à chaque fermeture (cookies etc)

C’est déjà pas mal …

Bonjour, mon épouse a été victime de la même escroquerie. J’essaye de signaler cette histoire mais sans succès. Si vous pouviez m’aider à transmettre l’information ce serait une bonne chose.

Voici l’histoire que j’ai décortiqué ce soir.

Le 18/12/2024, mon épouse reçoit un SMS de Mondial Relay prétextant qu’un des colis est trop volumineux, nous sommes débordés et fatigués en ce moment. Entre les bébés qui pleurent et la fièvre et tous les colis de Noël attendus elle se fait avoir et rempli toutes les informations demandées.

Le lendemain soir le 19/12/2024 vers 19h l’arnaqueur la contacte alors qu’elle était en voiture avec les bébés. Il parle bien, il est habile et confiant. Celui-ci se fait passer pour un service anti fraude lié à la banque de France et explique à mon épouse que ses fonds sont en danger et qu’il faut agir vite.

Il la met en confiance, propose un partage d’écran WhatsApp et l’invite à ouvrir son application bancaire, celle ci s’ouvre heureusement par reconnaissance faciale. L’arnaqueur pompe toutes les informations visibles.
Il lui demande ensuite de créer un bénéficiaire tiers à son nom pour sécuriser les fonds pour un virement de 1997 euros, instantané. Celui-ci essayait manifestement d’éviter des plafonds. Il pretextait que tous les fonds jusqu’à 10000 sur son compte professionnel étaient couverts mais qu’il fallait sécuriser le surplus.

La banque bloque le virement. S’en suit un second virement 999 euros, bloqué également.

Je finis par avoir mon épouse au téléphone et lui demande d’inviter le brouteur à m’appeler en prétendant être très inquiet et vouloir sécuriser nos fonds de notre compte commun également.

Cet escroc prétendait s’appeller Thomas Morin, il a appelé mon épouse via le 0605870650 puis moi même via le 0756806712.

Il avait regroupé un certain nombre d’informations et était très convaincant, jusqu’à connaître un compte Boursobank dont il n’a pu connaître l’existence que via des bases de données qui regroupent tous les comptes dont un individu est titulaire en France.

Nous avons dû faire opposition à toutes nos cartes bancaires et verrouiller les applications bancaires. Nous allons devoir aller demain matin tôt à la banque ainsi que porter plainte alors que nous travaillons tout deux et devons déposer nos bébés à la crèche.

Ce rat a bouleversé mon épouse et sapé sa confiance en elle. Il nous a bousillé notre soirée et rendu la semaine compliquée alors que nous cumulons grippe, travaux dans la maison, bébé, travail chargé et préparation des fêtes de Noël.

Je ne me suis jamais inquiété des arnaqueurs parce que je ne suis pas impressionnable et je me méfie des gens qui me pressent. Cependant j’aimerais qu’ils soient démasqués et punis car ils font beaucoup plus de dégâts que je ne l’imaginais.

Je vous demande de m’aider à transmettre ce message.

L’option de signalement ne fonctionne pas sur le site. Je retenterai demain, pourriez vous enregistrer toute cette histoire que j’écris à presque deux heures du matin alors que mon réveil est prévu dans 4 heures.

Merci à tous !

Bonjour. Nous sommes vraiment navrés de ce qui vous est arrivé. le numéro commençant par un 0756 est un numéro virtuel ON/OFF et l’autre est un numéro Lyca Mobile. Autant vous dire que c’est très difficile de remonter jusqu’à leurs destinataires… Nous allons néanmoins signaler le faux site que vous avez indiqué. Marie Ange

Bonjour Benjamin,

J’ai essayé comme vous l’espace signalement avant de créer un sujet ici.

image756×196 42.8 KB

Vraisemblablement pas finalisé mais j’excuse Sandoz et Lalain, je pense qu’ils sont très occupés, même si une mention « En construction » serait la bienvenue sur cette page là aussi.

Pour ma part, j’avais copié collé mon texte dans une feuille libreOffice avant de valider, parce que je n’aurais pas rédigé le même paragraphe une deuxième fois.

Ta banque est très réactive et efficace, pour bloquer en temps réel des petits virements comme ça !

Il ressort bien de ton témoignage que ça peut vraiment arriver à tout le monde, même toi ou moi, qui sans excès de confiance pouvions jusque là affirmer n’être jamais tombés dans le panneau car on détecte les arnaques immédiatement … moi en tout cas je ne peux plus le dire.

Tu parles d’une base de données qui recenserait les comptes en banque par personne … je ne pense pas qu’ils aient ça, et encore moins avec des informations qui permettraient d’effectuer des transactions bancaires.

C’est peut-être en pensant à ça que tu as bloqué toutes tes cartes bancaires … moi je n’ai bloqué que celle dont j’ai transmis les coordonnées sur un site d’hameçonnage, pas les autres.

Ce qui est trompeur pour la victime et que les escrocs utilisent, c’est que le numéro de la CB dit si c’est VISA ou MASTERCARD etc, ainsi que le nom de la banque, au minimum. Ces infos que l’on a pas données directement mais que donne le numéro de la CB sont utilisées pour nous mettre en confiance inconsciemment.

La base de données dont je parlais, dont dispose le centre d’appels d’escrocs, c’est celle de tous les « pigeons » qui viennent de se faire « pigeonner », comme moi, avec nom, prénom et CB, donc banque, type de carte, et certainement comment et quand il a été obtenu, car ça se périme vite … et puis rapidement d’autres infos y compris personnelles puisqu’au téléphone ils essaient d’en apprendre un maximum, sur la naïveté du client, son train de vie, son âge, l’état de son compte en banque, et tout le reste …

Quand il me demande si je connaissais le solde de mon compte au moment de la tentative de paiement de 450€, je dis oui sur un ton neutre, et rien de plus, sans même lui demander quand a eu lieu cette tentative … donc il n’apprend vraiment pas grand chose, à part que peut-être que je suis mes comptes de près ? … ce qui n’est absolument pas le cas, c’est pas bien !

Quand il me demande quel était ce solde puisque soit-disant je le connaissais, et que je lui réponds en lui disant que « c’est une question bizarre », toujours sur un ton neutre, il n’en apprend pas plus, il ne sait même pas si je l’ai démasqué, alors qu’il voulait probablement savoir pourquoi la carte ne fonctionne pas …

Une CB internationale à débit différé ne regarde pas le solde du compte pour payer, elle dit oui jusqu’à un plafond sur 7 jours glissants et mensuel, en général très élevé mais que l’on configure à volonté, qui est là pour donner de la souplesse mais ne préfigure de rien d’autre.

Par contre, en cas de fraude « réussie », une telle CB peut faire très mal ! …

Pour ma part, je ne vais pas passer du temps à essayer d’en savoir plus sur les escrocs, il me semble que c’est pour ainsi dire peine perdue, et je pense qu’ayant vraiment renforcé la sécurité sur mon mobile, je n’aurai probablement plus affaire à eux, ni à d’autres, du moins j’espère.

Ce qui est utile, c’est de se protéger, et de signaler le plus rapidement, largement et précisément possible pour tuer l’arnaque et limiter le nombre de victimes.

Ensuite, à part si l’on est vraiment averti, et donc aussi équipé en conséquence, je pense que chaque contact avec ces escrocs constitue un risque réel, au delà du challenge et du jeu que ça peut représenter.

Pour ma part c’est bien involontairement que je les ai rappelés !

Heureusement la banque a tout bloqué, un peu d’administratif et d’agacement mais ça va me motiver à mieux sécuriser les appareils familiaux et mon épouse sera moins perméable aux escrocs.
Ils utilisent un ton pressant et déterminé pour inviter la victime à la coopération, je ne suis pas d’un naturel inquiet face à une situation d’urgence alors j’ai désamorcé l’arnaque mais il a réussi à tenir au téléphone mon épouse pendant une bonne demie-heure.

Une fois récupéré l’appel j’ai immédiatement noté l’habileté de l’arnaqueur. Rien n’avait dévié dans son scénario et il tentait immédiatement de rebondir sur d’autres comptes une fois qu’il eût compris que la banque principale l’avait stoppé, en prétendant être l’auteur du blocage.

Il a raccroché quand je lui ai demandé un mail explicatif à mon adresse associée au compte ( s’il avait toutes les informations comme prétendu) dans les dix minutes. Il a compris que c’était foutu.

Ils ont ensuite tenté des achats en ligne avec la carte utilisée par mon épouse sur le faux site mondial Relay 3h durant la nuit. Trop tard, j’avais tout bloqué.

bonjour Pierre. Le signalement va être fait. sois rassuré.

Merci Marie-Ange, de votre attention !

Faute que la page de votre site web dédiée soit opérationnelle, nous utilisons le forum, aux mêmes fins.

Vous aurez compris que je « profite » d’avoir été piégé malgré ma vigilance et mes connaissances en cybersécurité pour décortiquer et expliquer le plus précisément possible le « comment » et le « pourquoi », tout comme le fait aussi Benjamin.

Benjamin ne dit pas qu’il n’aurait pas pu se faire piéger, dans une situation cognitive semblable à celle où se trouvait son épouse quand ça a commencé, et c’est tout à son honneur.

Nos témoignages se complètent très bien, car hameçonnés par le même SMS au même moment, puis en contact avec le même centre d’appel de SCAMMERS, nous produisons deux expériences complètement différentes, qui donnent beaucoup plus de recul au lecteur.

Benjamin et moi-même pouvons prendre le temps de partager nos mésaventures ici parce-que il semblerait que le plus gros du risque soit écarté pour nous, et qu’il n’a - par chance - pas eu de conséquences financières fâcheuses.

Par contre, il est certain que tous ceux qui ont perdu soudain quelques centaines ou quelques milliers d’euros ont d’autres chats à fouetter que d’écrire ici !

A commencer par se battre contre leur banque qui n’assumera pas et fera tout pour se dédouaner afin de ne pas rembourser - ou alors le plus tard possible.

Une bataille à durée indéterminée qui plonge soudainement la victime dans une détresse psychologique et financière insoutenable !

Une détresse qui ne laisse pas de place pour se poser devant un clavier et « raconter ses aventures » sur un forum.

… D’où l’importance que vous rendiez fonctionnelle la page de signalement !

Merci à Sandoz et Lalain pour ce site web, il est d’utilité publique !

par « signaler rapidement » j’entends en premier lieu, sur le dispositif qui a reçu le SMS, utiliser la fonction de signalement :

Au minimum « signaler comme SPAM », si le dispositif n’est pas équipé d’un système de sécurité avancé. Tous les autres destinataires du même message auront déjà une « alerte » minimale.

Si le dispositif est équipé d’un système de sécurité un peu plus performant, l’utilisateur aura le choix de signaler « spam » ou « fraude » ou « phishing » ou « escroquerie » etc … et le signalement protègera même ceux qui ne verraient le message que quelques minutes plus tard.

Si le dispositif est équipé d’un système de sécurité avancé et bien configuré, l’utilisateur sera averti d’un danger même s’il est le premier à voir le message et pourra le signaler, ou alors ne le verra même pas, signalé ou pas. Par contre, une fois signalé comme « fraude » etc, les autres utilisateurs aussi équipés d’une protection « performante » ou « avancée » sauront exactement à quoi s’en tenir, ou alors mieux, ne le verront tout simplement jamais.

Je suis persuadé qu’en la matière, les éditeurs de solutions de sécurité partagent la même base de données en temps réel, de toutes façons c’est du gagnant-gagnant, pour la sécurité de leurs clients respectifs.

De même, il n’y a pas de solution de sécurité « gratuite » chez l’un qui soit aussi performante qu’une solution de sécurité « payante » chez l’un ou chez l’autre, là dessus aussi les éditeurs de solutions de sécurité sont d’accord.

Le signaler ensuite sur un site .gouv dédié a peut-être une utilité ?

Le signaler ici renseignera et complètera les cibles du travail de fond que font Sandoz et Lalain, en plus d’informer et sensibiliser le public.

Merci pour ton témoignage Pierre. Il faut savoir que les signalements sont simples à faire mais que la suppression du site frauduleux est bien plus
compliqué que cela… Petite anecdote (qui n’est pas drôle du tout) : avec certaines personnes, nous avons eu des échanges sur X un peu tendus sur le fait que nous ne comprenions toujours pas comment L’afnir (qui gère les noms de domaines notamment en .fr) autorisaient des noms de domaines dont les noms étaient clairement explicites, exemple : carte-renouvellement.fr" . on nous a répondu que ce n’était pas possible de les bloquer en amont car l’AFNIR n’a pas de droit de regard sur le contenu de ces sites. Donc un site comme « carte-renouvellement.fr » passe… ET surtout on nous a répondu qu’on touchait à la liberté d’entreprendre et d’expression en ligne. donc à la Constitution. cette bataille avait déjà été menée et le conseil constitutionnel avait répondu la meme chose : on ne touche pas à notre constitution… que dire… la seule solution que nous avons est donc de signaler aux hébergeurs de ces sites (certains sont réactifs, d’autres bcp moins, voire pas du tout)

Hello,

Pour info ils ont recommencé avec point-relais-2024.info, j’ai signalé le domaine à l’abuse de l’hébergeur et spammé leur form à l’aide d’un gentil petit script mais vigilance avec ces gros

Bonne journée