Phishing massif UPS : les faux colis débarquent en force
Posté : jeu. 26 mars 2026 08:33
Phishing massif UPS : les faux colis débarquent en force
Une campagne d’hameçonnage massive usurpant UPS cible milliers de français avec un faux avis de livraison, en s’appuyant sur des adresses issues de bases piratées.
Une vague de courriels frauduleux aux couleurs d’UPS a été signalée par au moins une trentaine de lecteurs de ZATAZ. Le scénario est rodé : un colis n’aurait pas pu être remis, faute de signature, et l’internaute est invité à reprogrammer la livraison via un site présenté comme légitime.
Une mise en scène crédible pour pousser au clic
Le message reçu suit la grammaire habituelle des escroqueries de livraison. L’expéditeur exploite une situation banale, un colis manqué, puis introduit une contrainte de temps afin d’augmenter la pression. Le texte annonce qu’aucune personne n’était présente pour signer la remise, que le paquet a été renvoyé à l’entrepôt, puis qu’un nouveau rendez-vous devient nécessaire. L’objectif est limpide : pousser la cible à agir vite, sans vérifier l’authenticité de la demande.
Le contenu s’adresse à la victime avec une formule personnalisée, « Cher/Chère [identité de la cible] », ce qui suggère l’usage d’une base d’adresses exfiltrées de plusieurs bases de données compromises, vendues dans des blackmarkets et autres forums pirates dédiés. Ce point change l’impact de la campagne. Il ne s’agit plus d’un envoi massif totalement aveugle, fondé sur des adresses générées au hasard, mais d’une diffusion nourrie par des données déjà collectées ailleurs. Pour l’escroc, cette matière première améliore le taux d’ouverture, crédibilise l’approche et facilite la conversion vers la page piégée. Recevoir un courriel personnalisé avec votre identité, votre adresse mail et votre ville est bien plus efficace.
Le cœur du dispositif repose sur l’URL. À première vue, « ups-dispatching.net-portalcenter(.)com » cherche à inspirer confiance. L’œil repère immédiatement « ups » et l’univers logistique associé. Pourtant, le domaine effectif est « net-portalcenter(.)com », et non un domaine officiel d’UPS. C’est une technique de tromperie visuelle très répandue : le pirate place le nom d’une marque au début de l’adresse pour détourner l’attention, en espérant que la victime ne lise pas jusqu’au nom de domaine réel.
Le courriel renvoie aussi vers un autre intitulé trompeur, « reprogrammer-malivraison.fr-colisclient(.)com », construit selon le même principe. Là encore, l’habillage lexical cherche à singer un portail client dédié à une reprogrammation de livraison. Cette duplication d’indices visuels n’est pas anodine. Elle montre une campagne pensée pour des lecteurs francophones, avec une adaptation linguistique destinée à réduire la méfiance au moment du clic.
Tous les lecteurs et lectrices ayant alerté ZATAZ ont confirmé être dans l’attente d’un colis provenant des États-Unis ou du Royaume-Uni.
Des tokens opaques et une logique de suivi de campagne
Le lien analysé contient deux segments techniques dans son chemin. Leur décodage peut évoquer du Base64, ce qui donne l’impression possible d’un message dissimulé. Cette caractéristique oriente vers une autre lecture, bien plus probable dans un contexte de phishing industriel. Ces séquences ressemblent à des identifiants opaques, à des jetons de routage ou à des marqueurs servant au suivi d’une session. Dans ce type d’opération, ces valeurs peuvent permettre d’associer un clic à une campagne précise, à une victime particulière, à une redirection donnée ou à une étape de collecte. Elles peuvent aussi servir à segmenter les résultats pour savoir quels destinataires ouvrent le message, accèdent au site, abandonnent le formulaire ou transmettent des données.
Le signal principal reste toutefois le domaine. UPS précise que ses communications légitimes proviennent notamment de « ups.com » et de « upsemail.com ». L’entreprise indique suspectes les adresses qui imitent ou modifient ses références officielles. Elle recommande aussi d’accéder à ses services en passant directement par « ups.com », plutôt que via un lien reçu dans un courriel. Cette consigne est centrale, car elle casse le ressort psychologique du phishing : l’urgence ne doit jamais dicter l’itinéraire numérique de la victime.
Sur le plan opérationnel, la conduite à tenir est nette. Il ne faut pas ouvrir le lien, ni saisir d’informations, ni télécharger un document présenté comme nécessaire à la livraison. Toute interaction augmente le risque de vol de données, de compromission de compte ou d’exposition à une charge malveillante. Le fait que la marque UPS soit fréquemment détournée renforce encore le besoin de contrôle avant toute action.
Au-delà du simple faux colis, cette campagne illustre un mécanisme bien connu du renseignement sur les menaces : l’assemblage entre des données dérobées, une marque de confiance et une urgence artificielle. L’attaque ne repose pas sur une sophistication technique spectaculaire. Elle tire sa force d’une exécution propre, d’un ciblage crédible et d’un habillage conçu pour réduire les réflexes de vérification. Dans l’économie souterraine du phishing, c’est souvent cette efficacité discrète qui fait le plus de dégâts.
merci à ZATAZ
Une campagne d’hameçonnage massive usurpant UPS cible milliers de français avec un faux avis de livraison, en s’appuyant sur des adresses issues de bases piratées.
Une vague de courriels frauduleux aux couleurs d’UPS a été signalée par au moins une trentaine de lecteurs de ZATAZ. Le scénario est rodé : un colis n’aurait pas pu être remis, faute de signature, et l’internaute est invité à reprogrammer la livraison via un site présenté comme légitime.
Une mise en scène crédible pour pousser au clic
Le message reçu suit la grammaire habituelle des escroqueries de livraison. L’expéditeur exploite une situation banale, un colis manqué, puis introduit une contrainte de temps afin d’augmenter la pression. Le texte annonce qu’aucune personne n’était présente pour signer la remise, que le paquet a été renvoyé à l’entrepôt, puis qu’un nouveau rendez-vous devient nécessaire. L’objectif est limpide : pousser la cible à agir vite, sans vérifier l’authenticité de la demande.
Le contenu s’adresse à la victime avec une formule personnalisée, « Cher/Chère [identité de la cible] », ce qui suggère l’usage d’une base d’adresses exfiltrées de plusieurs bases de données compromises, vendues dans des blackmarkets et autres forums pirates dédiés. Ce point change l’impact de la campagne. Il ne s’agit plus d’un envoi massif totalement aveugle, fondé sur des adresses générées au hasard, mais d’une diffusion nourrie par des données déjà collectées ailleurs. Pour l’escroc, cette matière première améliore le taux d’ouverture, crédibilise l’approche et facilite la conversion vers la page piégée. Recevoir un courriel personnalisé avec votre identité, votre adresse mail et votre ville est bien plus efficace.
Le cœur du dispositif repose sur l’URL. À première vue, « ups-dispatching.net-portalcenter(.)com » cherche à inspirer confiance. L’œil repère immédiatement « ups » et l’univers logistique associé. Pourtant, le domaine effectif est « net-portalcenter(.)com », et non un domaine officiel d’UPS. C’est une technique de tromperie visuelle très répandue : le pirate place le nom d’une marque au début de l’adresse pour détourner l’attention, en espérant que la victime ne lise pas jusqu’au nom de domaine réel.Le courriel renvoie aussi vers un autre intitulé trompeur, « reprogrammer-malivraison.fr-colisclient(.)com », construit selon le même principe. Là encore, l’habillage lexical cherche à singer un portail client dédié à une reprogrammation de livraison. Cette duplication d’indices visuels n’est pas anodine. Elle montre une campagne pensée pour des lecteurs francophones, avec une adaptation linguistique destinée à réduire la méfiance au moment du clic.
Tous les lecteurs et lectrices ayant alerté ZATAZ ont confirmé être dans l’attente d’un colis provenant des États-Unis ou du Royaume-Uni.
Des tokens opaques et une logique de suivi de campagne
Le lien analysé contient deux segments techniques dans son chemin. Leur décodage peut évoquer du Base64, ce qui donne l’impression possible d’un message dissimulé. Cette caractéristique oriente vers une autre lecture, bien plus probable dans un contexte de phishing industriel. Ces séquences ressemblent à des identifiants opaques, à des jetons de routage ou à des marqueurs servant au suivi d’une session. Dans ce type d’opération, ces valeurs peuvent permettre d’associer un clic à une campagne précise, à une victime particulière, à une redirection donnée ou à une étape de collecte. Elles peuvent aussi servir à segmenter les résultats pour savoir quels destinataires ouvrent le message, accèdent au site, abandonnent le formulaire ou transmettent des données.
Le signal principal reste toutefois le domaine. UPS précise que ses communications légitimes proviennent notamment de « ups.com » et de « upsemail.com ». L’entreprise indique suspectes les adresses qui imitent ou modifient ses références officielles. Elle recommande aussi d’accéder à ses services en passant directement par « ups.com », plutôt que via un lien reçu dans un courriel. Cette consigne est centrale, car elle casse le ressort psychologique du phishing : l’urgence ne doit jamais dicter l’itinéraire numérique de la victime.
Sur le plan opérationnel, la conduite à tenir est nette. Il ne faut pas ouvrir le lien, ni saisir d’informations, ni télécharger un document présenté comme nécessaire à la livraison. Toute interaction augmente le risque de vol de données, de compromission de compte ou d’exposition à une charge malveillante. Le fait que la marque UPS soit fréquemment détournée renforce encore le besoin de contrôle avant toute action.
Au-delà du simple faux colis, cette campagne illustre un mécanisme bien connu du renseignement sur les menaces : l’assemblage entre des données dérobées, une marque de confiance et une urgence artificielle. L’attaque ne repose pas sur une sophistication technique spectaculaire. Elle tire sa force d’une exécution propre, d’un ciblage crédible et d’un habillage conçu pour réduire les réflexes de vérification. Dans l’économie souterraine du phishing, c’est souvent cette efficacité discrète qui fait le plus de dégâts.
merci à ZATAZ