Un colis attendu pendant les soldes, un SMS qui tombe pile au bon moment avec le logo bpost et un lien de suivi. Le réflexe est humain : on clique sans réfléchir. Mais ce SMS n’a jamais été envoyé par bpost, et la page qui s’ouvre ensuite demande une chose que jamais un vrai suivi de colis ne réclame, les données de votre carte bancaire. Cette arnaque, connue sous le nom de smishing, explose chaque année pendant les périodes de forte activité postale, et les soldes d’été en sont un terrain de chasse idéal.
Le mécanisme est bien rodé et mérite d’être décortiqué, parce que la meilleure protection reste de comprendre exactement comment ces messages sont construits pour piéger.
À retenir
- Le SMS semble provenir de bpost mais l’URL contient des détails subtils qui la trahissent
- La page frauduleuse réclame des données bancaires sous prétexte de taxe douanière dérisoire
- Une fois vos coordonnées saisies, deux scénarios se produisent : un prélèvement immédiat et des achats frauduleux ultérieurs
Pourquoi ce SMS est presque impossible à repérer au premier coup d’œil
Les fraudeurs ne tirent pas au hasard. Ils envoient leurs SMS en masse, sachant qu’une partie non négligeable des destinataires attend justement un colis, soldes obligent. Le message reprend souvent une formulation proche de celle de bpost : « Votre colis est en attente de livraison, une taxe douanière de 1,99€ doit être réglée pour finaliser la livraison. » Le montant est volontairement dérisoire. Payer deux euros pour débloquer un colis semble anodin, presque logique, alors qu’en réalité cette page sert uniquement à récupérer numéro de carte, date d’expiration et code de sécurité.
Le lien contenu dans le SMS pointe vers un nom de domaine qui ressemble à s’y méprendre à celui de bpost, avec parfois une lettre inversée ou un suffixe différent (.info, .net au lieu de .be). Sur mobile, l’écran étant plus petit, ces détails passent facilement inaperçus. La page elle-même est une copie quasi identique du site officiel, logo, couleurs, mise en page, tout y est pensé pour rassurer visuellement en une fraction de seconde.
Le Centre pour la Cybersécurité Belgique (CCB) alerte régulièrement sur ce type de campagnes via sa plateforme Safeonweb, qui recense les signalements de phishing et smishing en Belgique. Le message y est constant : aucune société de livraison, bpost comprise, ne demande jamais de coordonnées bancaires par SMS pour débloquer un colis, quel que soit le prétexte invoqué (taxe douanière, frais de réexpédition, adresse à confirmer avec paiement).
Ce qui se passe concrètement une fois les données bancaires saisies
Une fois le formulaire rempli, deux scénarios se produisent généralement, parfois combinés. Le premier est un prélèvement immédiat d’un petit montant, celui annoncé sur la page, histoire de valider que la carte est active et solvable. Le second, plus grave, survient dans les heures ou jours qui suivent : les données récupérées sont revendues ou utilisées pour des achats frauduleux bien plus conséquents, parfois à l’étranger, parfois via des sites qui ne demandent pas de code de confirmation supplémentaire.
C’est là que la rapidité de réaction change tout. Contacter sa banque dans l’heure qui suit permet souvent de bloquer la carte avant que les transactions frauduleuses ne passent. Febelfin, la fédération belge du secteur financier, recommande d’appeler immédiatement le numéro d’urgence Card Stop (070 344 344, accessible 24h/24) dès qu’on soupçonne avoir communiqué ses données à un site frauduleux. Ce réflexe simple évite dans bien des cas que la situation ne s’aggrave.
Il faut aussi penser à conserver une capture d’écran du SMS et de la page frauduleuse avant de les supprimer, ces éléments serviront de preuve pour la plainte et pour le signalement aux autorités compétentes.
Comment vérifier un vrai suivi de colis sans tomber dans le piège
Le seul réflexe fiable, et qui prend à peine trente secondes, consiste à ne jamais cliquer sur le lien reçu par SMS. À la place, on ouvre directement l’application officielle bpost ou on tape soi-même l’adresse bpost.be dans le navigateur, puis on entre le numéro de suivi du colis manuellement dans la section prévue à cet effet. Si un problème de douane ou de taxe existe réellement, il apparaîtra sur cette interface officielle, jamais uniquement via un lien SMS isolé.
Un autre indice trahit presque systématiquement ces arnaques : l’urgence artificielle. Les vrais services postaux ne mettent jamais de compte à rebours (« votre colis sera renvoyé à l’expéditeur dans 2 heures si vous ne payez pas ») pour une simple raison, la logistique postale ne fonctionne pas à cette vitesse. Ce sentiment d’urgence est justement l’arme psychologique principale du smishing, il court-circuite la réflexion et pousse à agir avant de vérifier.
Il vaut aussi la peine de vérifier l’expéditeur du SMS lui-même. Les messages légitimes de bpost apparaissent généralement dans le même fil de conversation que les précédentes notifications de suivi, avec le même nom d’expéditeur affiché par l’opérateur. Un nouveau numéro, une orthographe légèrement différente du nom, ou un mélange de majuscules et minuscules inhabituel dans l’URL sont autant de signaux qui doivent alerter immédiatement.
Signaler ces messages contribue aussi à la lutte collective contre ce type de fraude. En Belgique, il suffit de transférer le SMS suspect gratuitement au numéro 8811, un service géré par le CCB qui alimente une base de données utilisée pour bloquer les numéros et domaines frauduleux les plus actifs. bpost elle-même dispose d’une adresse dédiée pour recevoir les signalements de phishing usurpant son nom, consultable sur son site officiel.
Un chiffre mérite d’être gardé en tête : selon les signalements reçus par Safeonweb, les pics de smishing lié aux colis coïncident systématiquement avec les périodes de forte activité commerciale, Black Friday, fêtes de fin d’année et soldes d’été inclus. Ce n’est pas un hasard si ce type de SMS arrive justement quand on attend réellement un colis. Les fraudeurs misent sur la probabilité statistique plutôt que sur le ciblage individuel, ce qui explique pourquoi tout le monde, un jour ou l’autre, reçoit ce message tombant à pic.