François Charron
Sécurité

Recevoir des colis gratuits avec un code QR: gare à la fraude du brossage!

le mercredi 25 septembre 2024
Modifié à 12 h 58 min le 25 septembre 2024
Par François Charron

ecrire@francoischarron.com

Vous recevez la livraison d'un produit, de cadeaux ou d'échantillons via un colis que vous n'avez pas commandé? Ce dernier est accompagné d'un code QR? Faites attention, il s'agit peut-être d'un cas de fraude au brossage (brushing scam). Une tactique qui sévit particulièrement sur Amazon.

À l'ère du numérique, on est de plus en plus enclin à effectuer nos achats en ligne.

Amazon vient évidemment en tête de liste, alors qu'on peut commander pratiquement n'importe quoi et les obtenir rapidement.

Certains font tellement de commandes en ligne qu'ils peuvent même en venir à oublier des achats qu'ils ont faits.

Ceci ouvre notamment la porte à des escrocs qui vont tenter d'en profiter via la tactique de la fraude au brossage.


Qu'est-ce que le "brushing scam" de colis?

La fraude du brossage, aussi appelée "brushing scam", est une technique frauduleuse utilisée par certains vendeurs en ligne pour améliorer artificiellement leur réputation et leurs ventes.

L'arnaque au brossage est notamment l'une des fraudes les plus populaires sur Amazon.

10 fraudes Amazon à connaître pour les éviter efficacement

Voici comment cela fonctionne:

Le vendeur crée de faux comptes clients et passe de fausses commandes pour ses propres produits.

Les produits, souvent de faible valeur, sont ensuite envoyés à des adresses réelles, choisies au hasard ou obtenues via des fuites de données.

Les destinataires n'ont rien commandé et sont surpris de recevoir ces colis.

Une fois les colis livrés, le vendeur utilise les faux comptes pour publier des avis positifs et des évaluations 5 étoiles sur les produits, se faisant passer pour de véritables clients satisfaits.

Certains vont également placer un petit pamphlet avec un code QR ou un site web à visiter pour laisser soi-même un avis.

Étant donné qu'on obtient le produit gratuitement, certains sont alors enclins à laisser un avis positif concernant celui-ci.

Quel est l'objectif de l'arnaque au brossage?

Ultimement, le but de l'arnaque au brossage est d'engranger des ventes légitimes à prix trop élevé.

Les faux avis positifs augmentent la note moyenne des produits en question. 

Cela les fait remonter dans les résultats de recherche et attire davantage de vrais clients.

Une meilleure réputation et une visibilité accrue incitent les clients potentiels à acheter les produits, pensant qu'ils sont de bonne qualité et appréciés par d'autres.

Cependant, ces personnes finissent par se faire avoir et payent beaucoup trop cher des produits de mauvaise qualité.

Identifier les faux avis en ligne

C'est en partie à cause des arnaques au brossage qu'on doit être très vigilant face aux avis qui sont faits sur les pages de produits des boutiques en ligne.

On doit toujours garder en tête les trucs pour reconnaître les faux commentaires sur le web.

4 trucs infaillibles pour reconnaître les faux commentaires sur le web

Particulièrement sur Amazon!

C'est certainement la plateforme d'achat de prédilection pour le "brushing scam", étant donné qu'il s'agit du plus gros détaillant en ligne.

Littéralement n'importe qui peut vendre des produits sur Amazon et c'est ce qui va encourager des escrocs à pratiquer le brossage pour améliorer leurs ventes.

Heureusement, il existe des outils qui ont pour but de nous aider à détecter les faux avis sur Amazon.

Détectez rapidement les vrais et faux avis sur Amazon


L'exemple de la bague GRA sur Facebook

Un bon exemple du "brushing scam" est cette fameuse vidéo de Francine Simard qui circule sur Facebook.

Celle-ci nous explique avoir reçu une bague dans une petite boîte rouge.

Le tout est accompagné d'une petite carte de la part d'une compagnie du nom de Global Gemological Research Academy (GRA).

Sur la carte, on y trouve un code QR et un site web à visiter afin d'obtenir la garantie pour la bague.

Madame Simard nous mentionne avoir vu circuler l'histoire sur Facebook . Elle dit que si l'on numérise le code QR, cela va voler toutes les données dans notre téléphone.

Fraude brossage bague GRA
Voici la fameuse bague GRA qui est envoyée à certaines personnes. - Facebook et Reddit

Va-t-on vraiment se faire voler nos données si on scanne le code QR?

Sans contredit, il s'agit d'un cas de fraude au brossage. Cependant, est-il vrai que nous allons compromettre nos données si on numérise le code QR?

On a voulu vérifier avec un téléphone Android muni d'un bon antivirus mobile afin d'être sûr de bloquer toute action malveillante.

Résultat?

On tombe sur une page 403...

Une page 403, aussi appelée "Erreur 403" ou "403 Forbidden", est un message qu'on peut rencontrer en naviguant sur internet.

Ça signifie que le serveur a bien compris notre demande d'accéder à une page ou une ressource spécifique, mais qu'il refuse de nous l'autoriser.

Plusieurs raisons peuvent expliquer l'apparition d'une erreur 403 :

  • Permissions incorrectes: Les fichiers ou dossiers du site web peuvent avoir des restrictions d'accès, et nous n'avons pas les autorisations nécessaires pour les consulter.
  • Problèmes de configuration du serveur: Il peut y avoir des erreurs dans la configuration du serveur web qui empêchent l'accès à certaines ressources.
  • Protection contre les accès non autorisés: Le site web peut avoir mis en place des mesures de sécurité pour bloquer les tentatives d'accès non autorisées, et votre demande a été identifiée comme potentiellement malveillante.
  • Contenu restreint: Certaines pages peuvent être réservées à des utilisateurs spécifiques, comme les membres d'un espace privé ou les abonnés à un service payant.

En somme, rien n'indique que la page en question siphonne bel et bien nos données.

Si la page était réellement malveillante, notre antivirus nous l'aurait signalé et il en aurait bloqué l'accès.


Comment savoir s'il s'agit d'une fraude au brossage?

Le but derrière l'envoi des bagues GRA est plus ou moins clair, mais il s'agit certainement d'un cas de brossage.

Recevoir une bague comme ça qu'on a n'a pas commandé et nous demander de nous rendre sur un site web est dans l'ADN d'une fraude au brossage.

La compagnie GRA existe réellement par ailleurs, cependant son site est différent de ce qu'on retrouve sur la petite carte qui accompagne la bague.

Toujours est-il qu'il est vrai qu'on ne devrait jamais numériser un code QR qui nous est transmis de la sorte.

On peut s'exposer à des attaques de "quishing".

Attention aux codes QR et découvrez les dangers Quishing


Quoi faire si on reçoit un colis gratuitement?

Dans une situation où l'on reçoit un colis gratuitement de la sorte, il y a quelques actions à faire.

On vérifie ses comptes

D'abord, on vérifie notre compte bancaire et notre carte de crédit pour s'assurer que ce n'est pas un achat qui a été effectué à notre insu.

Car oui, il y a des fraudeurs qui peuvent faire des achats en notre nom avec nos informations personnelles et bancaires puis qui vont tenter de venir voler le colis devant notre domicile.

C'est plutôt rare dans le cas de la fraude au brossage, mais ce n'est pas impossible.

Éviter de donner une évaluation

Dans un cas classique de brossage, on va nous inciter à aller écrire un avis en ligne.

On aura compris qu'on doit éviter de se rendre sur le site sur lequel on nous invite à aller.

Puis, on ne laisse pas d'avis sur celui-ci et on ne paye aucun montant qui pourrait nous être demandé.

On signale l'incident

Ensuite, on signale l'incident, si possible, à la boutique en ligne ou la plateforme qui nous a envoyé le colis.

Si par exemple c'est Amazon qui nous a envoyé le colis, bien on contacte Amazon pour leur signaler la situation.

Comment contacter et parler à quelqu’un du service à la clientèle d’Amazon

On protège ses données

Recevoir un colis non sollicité d'une boutique en ligne ne fait pas de nous nécessairement une victime directe de fraude.

Surtout s’il n'y a aucun montant qui a été facturé sur nos cartes bancaires.

Par contre, cela indique que nos données personnelles ont été utilisées à notre insu.

Ceci peut être dû à des fuites de données auprès d'un site sur lequel on s'est inscrit. Ces données peuvent ensuite circuler sur le dark web.

Ça peut être carrément dû à des sites véreux qui ne se gênent pas pour vendre nos données à des courtiers de données.

Autant de raison qui nous rappelle l'utilité d'un VPN ainsi que d'un logiciel comme Incogni qui peut faire supprimer nos informations chez les courtiers de données.