Vous avez reçu un colis que vous n’avez jamais commandé, accompagné d’un mystérieux QR code? Méfiez-vous, il pourrait s’agir d’une tentative de «brushing scam».
Les escrocs ne manquent malheureusement pas de ressources. Sitôt le public prévenu de l’émergence d’une arnaque que les voilà en train d’en imaginer de nouvelles. L’une d’entre elles porte le nom de «brushing scam». Si elle n’est pas nouvelle, elle est en recrudescence ces derniers mois.
Le facteur frappe à la porte. Entre ses mains, un colis qui n’a jamais été commandé. Pourtant, sur l’étiquette d’envoi figure bien l’adresse du destinataire. Celle-ci provient généralement d’un paquet de données récupérées illégalement, puis revendues par des escrocs sur le dark web. Le paquet peut être vide ou bien contenir un objet de peu de valeur.
Pour des avis positifs… ou de l’argent
Il existe trois cas de figure pour lesquels ce type de colis non-commandés arrive devant votre porte. Sur les sites de vente de ligne, les vendeurs sont notés en fonction de divers critères, parmi lesquels le nombre de ventes effectuées. Dans le premier cas, le but est simplement de gonfler artificiellement le nombre de commandes pour améliorer la notoriété du vendeur, et ainsi sa position dans les résultats de recherche.
Dans le deuxième cas, l’objectif est non seulement de gonfler les ventes, mais également de récupérer les données personnelles des destinataires. Dans le colis en question se trouve un QR code. L’expéditeur n’étant indiqué nulle part, la curiosité peut pousser à le scanner dans l’espoir de connaître l’identité du généreux donateur. La victime potentielle arrive sur un site sur lequel elle est invitée à entrer ses données personnelles. Si elle ne se méfie pas et les communique, ces informations sont ensuite utilisées pour rédiger de faux avis positifs sur divers sites d’e-commerce. Nom, prénom, ville… sont autant de données qui permettent aux vendeurs-escrocs de rendre crédibles les faux commentaires.
Enfin, le troisième cas de figure, certainement le plus dangereux, peut coûter cher aux victimes. En plus de chercher à améliorer artificiellement sa position dans les recherches, le e-commerçant tente de voler l’argent des destinataires de ses colis anonymes. En effet, parmi les données personnelles réclamées peuvent parfois se trouver les coordonnées bancaires.
Brushing scam: que faire?
- La première chose à faire est de déterminer si le colis reçu est une tentative d’arnaque ou non. Tout d’abord, en vérifiant qu’il ne s’agit pas d’une (très) ancienne commande oubliée, ou en sollicitant famille et amis afin de savoir s’ils ne sont pas les expéditeurs d’un cadeau.
- Si la réponse à cette première question est négative, le fait qu’aucune adresse de retour n’est mentionnée sur le colis est une raison supplémentaire de se méfier.
- Dans ce cas-là, il est conseillé de ne pas chercher à identifier l’expéditeur et de se débarrasser du paquet, ainsi que de son contenu -qui peut par ailleurs être une contrefaçon.
- Si un site marchand est indiqué sur le colis, il est avisé de le contacter pour signaler la tentative de brushing scam.
- Si des identifiants et mots de passe ont été communiqués, il est préférable de les modifier partout où ils ont été utilisés. S’il s’agit de cordonnées bancaires, il est impératif de vérifier qu’aucune transaction illégale n’a été effectuée et de bloquer le compte par précaution.
- Enfin, il est aussi possible de signaler la tentative d’arnaque auprès de Safe on Web.
