Une nouvelle campagne de messages frauduleux cible les automobilistes à l'approche des départs en vacances, en se faisant passer pour des sociétés d'autoroute. Cette vague de phishing se distingue par un niveau de personnalisation inédit : les escrocs intègrent désormais dans leurs courriels et SMS des informations précises sur leurs victimes, telles que le nom, la plaque d'immatriculation ou encore le modèle du véhicule.
Un mécanisme classique, des données personnalisées
Le procédé reste similaire aux arnaques précédentes. L'utilisateur reçoit un message dont l'objet mentionne « Régularisation requise ». Les fraudeurs usurpent l'identité d'exploitants autoroutiers comme Ulys, le service de télépéage de Vinci Autoroutes, en reproduisant leur logo et leur charte graphique. Le texte indique qu'un péage impayé doit être réglé : « Votre badge Ulys a bien été détecté, mais le prélèvement automatique a échoué ». La somme réclamée, variant entre 6 et 10 euros, est volontairement dérisoire pour inciter la cible à cliquer sur un lien intitulé « Régulariser mon paiement » afin d'éviter d'éventuelles pénalités.
Ce lien redirige vers un site frauduleux conçu pour capter les données bancaires et personnelles saisies par la victime. Au lieu d'un faible prélèvement, le compte peut être débité d'un montant bien plus important. L'originalité de cette campagne réside dans l'utilisation d'institutions réelles : les fraudeurs connaissent désormais l'identité du conducteur, son numéro d'immatriculation et parfois le modèle de sa voiture. Cette personnalisation rend le message beaucoup plus convaincant, car la victime a l'impression d'avoir affaire à un véritable service client.
Un contexte propice aux escroqueries
La multiplication des péages en flux libre, couplée au début des vacances estivales et à l'afflux de départs, offre un terreau fertile à ce type d'arnaque. Les automobilistes, peu habitués à ces nouveaux modes de paiement automatique, peuvent être plus facilement trompés. Les montants modiques demandés dissuadent en outre de vérifier l'authenticité du message, d'autant que les données personnelles incluses semblent confirmer un contact légitime avec la société d'autoroute.
Les autorités et les spécialistes en cybersécurité rappellent l'importance de ne jamais cliquer sur un lien présent dans un courriel ou un SMS non sollicité, même si celui-ci semble provenir d'un organisme connu. En cas de doute, il est conseillé de se connecter directement au site officiel du fournisseur de télépéage via un navigateur, sans utiliser le lien fourni dans le message. Les plateformes comme la plateforme gouvernementale de signalement des arnaques permettent également de signaler ces tentatives.
Une évolution inquiétante du phishing automobile
Cette campagne illustre une tendance plus large : les cybercriminels améliorent constamment leurs techniques de hameçonnage en utilisant des données volées ou accessibles publiquement pour personnaliser leurs attaques. Dans le cas présent, l'origine des informations sur les véhicules n'est pas précisément identifiée, mais elle pourrait provenir de fuites de bases de données ou de l'exploitation de fichiers clients. Les automobilistes doivent redoubler de vigilance, surtout en période de départs massifs où le risque de précipitation est accru.
