Une campagne de phishing bien rodée circule en France : des courriels et messages imitent la SNCF ou SNCF Connect et invitent les usagers à répondre à un « sondage » pour tenter de gagner un Pass Navigo. Derrière l’apparence officielle se cachent des pages frauduleuses conçues pour collecter des données personnelles et bancaires.
En quoi consiste l'arnaque ?
Le message malveillant arrive par email ou messagerie et reprend les codes visuels et le ton institutionnel de la SNCF pour inspirer confiance. Il promet de gagner un pass Navigo mensuel gratuitement en échange de la participation à un court questionnaire. Après quelques questions anodines sur vos déplacements, le faux site vous demande progressivement vos informations personnelles (nom, adresse, date de naissance, téléphone) mais aussi vos coordonnées bancaires pour « frais d’activation ». Le parcours est volontairement fluide : le design, le texte et la promesse de gain réduisent la méfiance et poussent l’utilisateur au clic.
Les pages d’enquête sont hébergées sur des sites usurpateurs et les liens sont souvent envoyés depuis des adresses proches des domaines officiels. Les fraudeurs jouent sur l’urgence (nombre limité de Pass) et sur la légitimité présumée d’un acteur public pour maximiser les conversions. Cette attaque a été repérée par nos collèges de zataz.com.
Quels sont les risques ?
Les informations collectées ne servent pas qu’à « valider un gagnant » : elles peuvent être revendues, croisées avec d’autres fuites et réutilisées pour des attaques plus ciblées (spear-phishing) ou pour usurper une identité. Même des données apparemment banales comme la date de naissance ou l'adresse postale permettent souvent de répondre à des questions de sécurité et facilitent l’ouverture de comptes frauduleux.
Si des coordonnées bancaires sont fournies, le risque devient financier : prélèvements non autorisés, achats frauduleux, ou usurpation de moyens de paiement. Par ailleurs, ces informations permettent aux escrocs de rendre leurs futurs messages beaucoup plus crédibles (ils peuvent citer des données réelles vous concernant), ce qui augmente fortement les chances de réussite d’arnaques ultérieures.
En clair : tomber dans ce piège peut conduire à du vol d’argent, de l’usurpation d’identité et à une hausse durable des tentatives de fraude ciblée contre vous.
Comment vous protéger ?
Ne cliquez pas sur le lien du mail : si un message vous propose un sondage ou un cadeau, ouvrez votre navigateur et rendez-vous directement sur le site officiel (sncf.com / sncf-connect.com) pour vérifier l’information. Les vrais organismes publient rarement des lots par email sans communication officielle.
Vérifiez l’expéditeur et l’URL : regardez l’adresse complète de l’expéditeur et l’adresse du site vers lequel on vous redirige. Une URL étrange ou un domaine qui ne correspond pas au site officiel est un signal d’alerte.
Ne fournissez jamais vos coordonnées bancaires dans un formulaire reçu par email :
Utilisez un antivirus : un logiciel de sécurité comme un antivirus est doté d'outils de protections anti-phishing qui bloquent efficacement tout ce genre de menaces en vous signalant automatiquement les expéditeurs malveillants et en bloquant l'ouverture de liens ou l'installation cachée de virus et de malwares.
