SMS frauduleux Chronopost / La Poste / Colissimo : comment les reconnaître

Le mode opératoire type

Les SMS sont envoyés depuis des numéros mobiles classiques (+33 6/7) ou des numéros étrangers, et invitent à régler une petite somme (souvent 1,99 € ou 2,99 €) pour la "livraison d'un colis en attente" ou des "frais de douane". Le lien pointe vers un domaine qui imite celui du transporteur officiel (variantes orthographiques, sous-domaines, extensions inhabituelles).

Une fois sur la fausse page, l'utilisateur est invité à saisir ses coordonnées bancaires complètes (nom, numéro, expiration, CVV). L'attaquant utilise ensuite ces données soit pour des achats frauduleux immédiats, soit pour préparer une attaque par vishing (faux conseiller bancaire) validée 3DS quelques heures plus tard.

Les signaux d'alerte

Domaine : vérifiez l'URL exacte. Les domaines officiels sont *chronopost.fr*, *laposte.fr*, *colissimo.fr*, *dpd.com/fr*. Tout domaine avec un tiret, une extension inhabituelle (.delivery, .top, .info), un nom qui contient le mot "pay", "fees", "douane" est suspect.
Frais inattendus : les transporteurs ne réclament jamais de petits frais (1-3 €) par SMS. Les frais de douane sont collectés sur le site officiel ou par votre transporteur lors de la livraison, pas par SMS.
Urgence : "Colis en attente, action immédiate requise" est un classique des arnaques. La vraie logistique ne crée pas d'urgence par SMS.

Que faire

Ne cliquez pas sur le lien.
Signalez le SMS au 33700 (gratuit, service officiel de signalement géré par l'AF2M).
Supprimez le SMS de votre boîte.
Si vous attendez un vrai colis, passez par l'app ou le site officiel du transporteur (saisissez l'URL à la main).
Si vous avez déjà saisi vos coordonnées : opposition carte immédiate, dépôt de plainte, surveillance des relevés sous 48 h.

Comment réduire l'exposition future

Vos coordonnées sont sans doute apparues dans une fuite de données. Un service comme Incogni supprime vos données chez les Incogni en supprime les traces via demandes RGPD/CCPA.">data brokers (qui revendent à ces réseaux d'arnaqueurs). Effet visible sous 3 à 6 mois selon les retours utilisateurs.

Pour vos comptes bancaires en ligne, activez systématiquement la 2FA par app authenticator (pas SMS — vulnérable au SIM-swapping) et utilisez un gestionnaire de mots de passe.

Le mode opératoire type

Les signaux d'alerte

Domaine : vérifiez l'URL exacte. Les domaines officiels sont *chronopost.fr*, *laposte.fr*, *colissimo.fr*, *dpd.com/fr*. Tout domaine avec un tiret, une extension inhabituelle (.delivery, .top, .info), un nom qui contient le mot "pay", "fees", "douane" est suspect.

Frais inattendus : les transporteurs ne réclament jamais de petits frais (1-3 €) par SMS. Les frais de douane sont collectés sur le site officiel ou par votre transporteur lors de la livraison, pas par SMS.

Urgence : "Colis en attente, action immédiate requise" est un classique des arnaques. La vraie logistique ne crée pas d'urgence par SMS.

Que faire

Ne cliquez pas sur le lien.

Signalez le SMS au 33700 (gratuit, service officiel de signalement géré par l'AF2M).

Supprimez le SMS de votre boîte.

Si vous attendez un vrai colis, passez par l'app ou le site officiel du transporteur (saisissez l'URL à la main).

Si vous avez déjà saisi vos coordonnées : opposition carte immédiate, dépôt de plainte, surveillance des relevés sous 48 h.

Comment réduire l'exposition future

Pour vos comptes bancaires en ligne, activez systématiquement la 2FA par app authenticator (pas SMS — vulnérable au SIM-swapping) et utilisez un gestionnaire de mots de passe.

SMS frauduleux Chronopost / La Poste / Colissimo : comment les reconnaître

Le mode opératoire type

Les signaux d'alerte

Que faire

Comment réduire l'exposition future

Pour aller plus loin

À lire aussi

SMS frauduleux Chronopost / La Poste / Colissimo : comment les reconnaître

Le mode opératoire type

Les signaux d'alerte

Que faire

Comment réduire l'exposition future

Pour aller plus loin

À lire aussi