Escroqueries, renseignements sur les menaces

Nous avons découvert cette campagne de fausses factures alors que les escrocs étaient encore en train de la mettre en place

par Stefan Dasic | 3 juin 2026
Ingénierie sociale
Ajouter comme source préférée sur Google

Une nouvelle vague de fausses factures de paiement est en train d'être mise en place, et nous avons repéré cette campagne alors qu'elle était encore en cours d'élaboration. Ces e-mails se font passer pour PayPal, Amazon, Geek Squad et d'autres entités, et ils ont tous un seul et même objectif : vous faire peur pour que vous appeliez un numéro de téléphone où vous attend un faux « agent du service client ».

Ce qui rend cette vague inhabituelle, c'est que certains des modèles que nous avons récupérés comportaient encore des champs vides à l'endroit où auraient dû figurer le numéro de téléphone et le prix, tandis que d'autres étaient déjà remplis et en circulation. Nous avons intercepté la campagne alors qu'elle était en plein déroulement.

En quoi consiste l'arnaque ?

Si vous recevez un e-mail qui ressemble à un reçu — « Votre abonnement a été renouvelé pour 349 $ », « Vous avez effectué un paiement de 598,96 $ » — et qui vous invite à appeler un numéro pour annuler ou contester le prélèvement, ne le faites pas.

Ce service est gratuit. Cet e-mail a pour but de vous mettre en contact avec un escroc qui tentera ensuite de vous convaincre de lui donner un accès à distance à votre ordinateur, de lui communiquer les détails de votre carte bancaire ou de vous faire croire à un « remboursement » qui, en réalité, vous obligera à lui envoyer de l'argent.

Cette technique particulière est connue sous le nom d’arnaque à la « facture fantôme » ou au « remboursement », et le stratagème est d’ordre psychologique, et non technique. C’est pourquoi ces e-mails parviennent souvent à passer à travers les filtres anti-spam : ils ne contiennent généralement ni pièce jointe ni lien malveillant que les systèmes de sécurité pourraient analyser. L’arnaque réside dans le numéro de téléphone que l’on vous invite à appeler.

Si vous n'avez pas effectué cet achat, il n'est pas nécessaire d'appeler le numéro indiqué dans l'e-mail pour l'annuler. Les entreprises sérieuses ne poussent pas leurs clients à régler des frais inattendus en les contactant à des numéros de téléphone non sollicités.

L'objectif est simple : susciter suffisamment d'inquiétude pour vous pousser à appeler. Vous remarquez un montant important que vous ne reconnaissez pas, disons 499 $, et votre premier réflexe est de bloquer le paiement. La facture vous indique gentiment un numéro à appeler « si ce n'est pas vous ». Vous appelez donc, et vous vous retrouvez alors face à l'escroc.

À partir de là, la conversation aboutit généralement à l'une des issues suivantes. Ils peuvent vous demander d'installer un logiciel afin de « corriger » le montant facturé, ce qui leur donnerait accès à votre ordinateur. Ils peuvent vous demander les détails de votre carte bancaire ou vos coordonnées bancaires pour « traiter le remboursement ». Ou bien ils peuvent « accidentellement » vous rembourser un montant trop élevé et vous demander de leur renvoyer la différence, généralement par carte cadeau ou virement bancaire.

La facture n'est qu'un appât, tandis que l'appel téléphonique est le piège.

Ces e-mails sont convaincants, et certains parviennent déjà dans vos boîtes de réception. La bonne nouvelle, c'est que le simple fait d'en recevoir un ne vous expose à aucun risque. L'arnaque ne fonctionne que si elle parvient à vous inciter à appeler le numéro indiqué. Si vous identifiez le message comme frauduleux et que vous le supprimez, l'attaque s'arrête là.

Si vous avez appelé ce numéro et suivi les instructions d'un escroc, lancez une analyse antivirus et vérifiez vos comptes bancaires. Modifiez vos mots de passe importants, activez l'authentification multifactorielle (MFA) et assurez-vous que votre logiciel de sécurité est à jour.

Comment nous l'avons découvert à moitié construit

La plupart des enquêtes sur les escroqueries commencent une fois que le mal est fait. Celle-ci était différente. Nous sommes tombés sur un ensemble de modèles de factures presque identiques qui faisaient manifestement partie du même kit, et plusieurs d'entre eux étaient incomplets.

Alors qu'un e-mail frauduleux bien ficelé aurait affiché un numéro de téléphone, certains d'entre eux affichaient le texte tel quel #TFN# à la place, ce qui n'est qu'un espace réservé. (« TFN » est l'abréviation utilisée par les escrocs pour désigner un numéro gratuit, la ligne vers laquelle ils redirigent leurs victimes.) D'autres ont laissé le prix tel quel #PRICE#, la date au format #DATE#, et le destinataire comme #EMAIL#. Il s'agit de champs de fusion, c'est-à-dire les espaces vides qu'un outil d'envoi groupé remplit automatiquement avant le lancement d'une campagne.

Le fait de constater que ces espaces réservés étaient toujours présents nous a indiqué que l'opération était encore en cours de préparation. Certains modèles étaient encore à moitié terminés, tandis que d'autres étaient déjà complets et comportaient des numéros de rappel actifs. Nous avions surpris la campagne en plein déroulement, à mi-chemin entre sa phase de création et son lancement complet.

Pourquoi ces factures semblent crédibles

Les escrocs utilisent des marques connues telles que PayPal, Amazon et Geek Squad. Ce sont des entreprises dont les gens s'attendent à recevoir des reçus et des avis de renouvellement, ce qui atténue la méfiance.

Les montants sont également choisis avec soin. Des sommes de l'ordre de quelques centaines de dollars sont suffisamment élevées pour susciter des inquiétudes, tout en restant plausibles dans le cadre d'un renouvellement d'abonnement ou d'un achat en ligne.

De nombreux messages insistent sur l'urgence de la situation, en invitant les destinataires à appeler rapidement pour contester ou annuler le prélèvement. Cette pression vise à empêcher les gens de vérifier la transaction par eux-mêmes.

Certaines factures vont même jusqu'à associer des marques de confiance, en prétendant par exemple qu'un paiement a été effectué via PayPal Amazon. Le fait de citer plusieurs entreprises renommées donne au message une apparence plus crédible.

Comment repérer une fausse facture

La bonne nouvelle, c'est que ces arnaques présentent des signes avant-coureurs communs. Une fois que l'on sait ce qu'il faut rechercher, elles sont beaucoup plus faciles à repérer. Soyez attentif aux éléments suivants :

  • Un prélèvement dont vous ne vous souvenez pas. Si vous ne reconnaissez pas ce prélèvement, vérifiez-le par vous-même via votre compte ou auprès de votre banque. S’il n’y a aucune trace de ce prélèvement, il s’agit probablement d’un leurre destiné à vous inciter à appeler.
  • Le temps presse. Des messages tels que « Appelez dans les 12 heures », « Annulez avant le renouvellement » ou « Agissez immédiatement » créent un faux sentiment d'urgence destiné à vous empêcher de réfléchir. Les véritables problèmes de facturation peuvent attendre que vous ayez vérifié.
  • Des marques en lesquelles vous avez confiance, utilisées comme couverture. Plus le logo est familier, moins les gens le regardent attentivement. Les escrocs s'approprient une confiance qu'ils n'ont pas méritée.
  • Des détails étranges qui ne collent pas tout à fait. Un PayPal « envoyé par » Amazon, une adresse égarée qui n'appartient à personne, ou une formulation un peu bizarre. Fiez-vous à ces petits détails qui vous semblent louches.
  • Des pressions pour vous retenir au téléphone. Une fois que vous avez appelé, une entreprise sérieuse ne vous empêcherait jamais de raccrocher pour vérifier, mais un escroc, lui, le fera.

Si l'un de ces éléments est présent, considérez l'ensemble du message comme suspect.

N'oubliez pas la seule règle qui permet de déjouer toute cette arnaque : une entreprise sérieuse ne vous pressera jamais de l'appeler pour annuler un paiement que vous n'avez jamais effectué. Si vous n'êtes pas sûr de la validité d'un prélèvement, fermez l'e-mail et vérifiez votre compte de la manière habituelle : en saisissant vous-même l'adresse du site web de l'entreprise dans votre navigateur ou en appelant le numéro figurant au dos de votre carte bancaire.

Conseil de pro : Malwarebytes Guard peut vous aider à repérer ce genre d'arnaques et vous indiquer la marche à suivre, tandis que Browser Guard vous empêchera d'accéder à des sites web frauduleux.

Que faire si vous recevez un de ces messages dans votre boîte de réception ?

Si vous recevez une facture suspecte comme celles décrites ici, prenez quelques précautions simples :

  • N'appelez pas ce numéro. C'est là tout le principe de l'arnaque. Les remboursements ou annulations légitimes ne nécessitent pas que vous appeliez un numéro figurant sur un reçu non sollicité.
  • Ne répondez pas et ne cliquez sur rien. Considérez ce message comme suspect, même s'il semble authentique.
  • Vérifiez vous-même les transactions. Si vous craignez qu'une transaction ne soit frauduleuse, connectez-vous directement à PayPal, à votre banque ou au site du commerçant en saisissant vous-même l'adresse, puis consultez l'historique de vos transactions.
  • Signalez-le. Transférez les e-mails suspects de hameçonnage à l'adresse dédiée aux signalements de l'entreprise dont l'identité a été usurpée et, aux États-Unis, signalez-les à la FTC à l'adresse reportfraud.ftc.gov. Le fait de signaler ces cas permet de mettre un terme aux activités frauduleuses.
  • Si vous avez déjà appelé, mettez fin à la conversation. N'installez aucun logiciel qu'ils vous recommandent. Si vous avez accordé un accès à distance ou communiqué des informations de paiement, contactez immédiatement votre banque et effectuez une analyse de sécurité fiable sur votre appareil.
  • Méfiez-vous des messages d'urgence. Des expressions telles que « dans les 12 heures » ou « annulez dès maintenant » visent à vous pousser à agir avant même d'y réfléchir. Prenez le temps de vérifier par vous-même la véracité de ces affirmations.

Les escrocs ont de plus en plus recours à des tactiques que les logiciels ont du mal à détecter. Les outils de sécurité ont du mal à analyser un numéro de téléphone figurant dans un e-mail, et l'arnaque proprement dite se déroule lors d'un appel téléphonique plutôt que par le biais d'un lien ou d'une pièce jointe malveillante.

C'est pourquoi il est important d'avoir découvert cette campagne dès son lancement. Au lieu de constater les dégâts a posteriori, nous avons pu observer les préparatifs : des modèles inachevés, des informations incomplètes et le dispositif frauduleux avant même qu'il ne soit pleinement mis en place.

La meilleure défense est simple : si une facture inattendue vous invite à appeler immédiatement un numéro, prenez le temps de vérifier d'abord par vous-même la nature de cette facturation.

Indicateurs de compromission

Domaines

invoicepdfin[.]xyz

invoicepdfus[.]xyz

invoicepdfusa[.]xyz

invoicerep[.]xyz

invoicestatement[.]xyz

invoicestm[.]xyz

Numéros de rappel

804-392-2793

801-640-8589

Quelque chose vous semble bizarre ? Vérifiez avant de cliquer.  

Malwarebytes Guardvous aide à analyser instantanément les liens, les messages et les captures d'écran suspects.  

Disponible avecMalwarebytes Premium pour tous vos appareils, ainsi que dansMalwarebytes pour iOS Android.  

Essayez-le gratuitement → 

À propos de l'auteur

Stefan Dasic

Stefan Dasic

Passionné par les solutions antivirus, Stefan a été impliqué très tôt dans les tests de logiciels malveillants et l'assurance qualité des produits AV. Au sein de l'équipe Malwarebytes , Stefan se consacre à la protection des clients et à la garantie de leur sécurité.

DERNIERS ARTICLES

Escroqueries
hameçonnage à grande échelle

Les programmes de vol d'informations sont en train de devenir la charge utile de prédilection dans le hameçonnage

Juin 3, 2026

Les cybercriminels préfèrent les logiciels de vol d'informations aux techniques traditionnelles de hameçonnage, car ceux-ci sont plus faciles à mettre en œuvre, s'adaptent bien à une utilisation à grande échelle et sont largement accessibles.

Mobile
Mobile

Les fausses alertes de virus envahissent les jeux mobiles

Juin 2, 2026

« Votre appareil est infecté ! » Les faux avertissements concernant les comptes et les alertes de virus transforment certaines publicités dans les jeux en pièges contenant des logiciels malveillants.

Confidentialité

Une fausse application BlueWallet vole les mots de passe, les comptes et les cryptomonnaies sur les Mac

Juin 1, 2026

Un faux fichier de téléchargement de BlueWallet incite Mac à exécuter un logiciel malveillant qui vole les mots de passe, les portefeuilles cryptographiques et les données du presse-papiers.

Ajouter comme source préférée sur Google

Articles connexes

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries