passer au contenu principal

Hameçonnage au colis Mondial Relay

Hameçonnage Colis Mondial Relay : Smishing, Vishing, Phishing (2026) Aller au contenu principal

Cybersécurité · Mis à jour mars 2026

Hameçonnage au colis
Mondial Relay : comment
ne pas tomber dans le piège

Les arnaques au colis ont radicalement changé depuis 2024. Elles sont plus personnalisées, plus crédibles, alimentées par l'IA et par des fuites massives de données. Ce guide vous explique comment elles fonctionnent vraiment, et comment ne plus se laisser piéger.

+45%
d'augmentation des campagnes de smishing depuis janvier 2025
Source : Cybermalveillance.gouv.fr, 2025
95%
des SMS sont lus, contre 20% des e-mails : le canal préféré des fraudeurs
Source : GSMA, 2024
15M
de comptes français compromis en un seul trimestre 2025
Source : CNIL / Have I Been Pwned, 2025

Alerte active mars 2026 : des campagnes de smishing imitant Mondial Relay circulent activement en France. Si vous avez reçu un SMS suspect, signalez-le immédiatement.

Le changement de 2025

Pourquoi ces SMS connaissent votre nom et votre adresse

Jusqu'en 2023, reconnaître un SMS frauduleux était relativement simple : expéditeur générique, fautes d'orthographe, lien suspect. Depuis 2025, la règle a changé. Les arnaques sont personnalisées. Elles contiennent votre prénom, vos premiers chiffres d'adresse, parfois votre numéro de commande réel.

La raison : les fuites massives de données de transporteurs et d'e-commerçants. Des bases contenant noms, adresses, numéros de téléphone et informations de suivi sont revendues sur le marché noir. Les fraudeurs les croisent avec leurs campagnes pour générer des messages d'une crédibilité déconcertante.

Ce que vous devez retenir : le fait qu'un SMS mentionne votre prénom, votre adresse ou un numéro ressemblant à un vrai colis ne prouve absolument rien. Ce sont des données volées, pas une preuve d'authenticité.

Le rôle de l'IA générative

Depuis 2025, les fraudeurs utilisent des outils d'IA pour générer des messages sans faute, dans un français parfait, adaptés au contexte. Les "fautes d'orthographe" qui aidaient à repérer les arnaques ont pratiquement disparu des campagnes récentes. Ne vous fiez plus à la qualité rédactionnelle pour juger de l'authenticité d'un message.

Comment vos données arrivent aux fraudeurs

1. Fuite chez un transporteur ou e-commerçant

Nom, adresse, téléphone, numéro de suivi sont exposés lors d'une intrusion dans les bases de données.

2. Revente sur le marché noir

Ces données sont vendues en masse à des groupes criminels organisés qui les croisent avec d'autres fichiers volés.

3. Campagne hyper-personnalisée

Un SMS vous arrive avec votre prénom et adresse exacte. Il est généré automatiquement par un bot à partir de ces données.

Sources : Ptit'Clic, Cybermalveillance.gouv.fr, SFPF 2026

État des lieux 2026

Les 4 variantes d'hameçonnage au colis

En 2026, les fraudeurs ne se limitent plus au SMS et à l'e-mail. Deux nouvelles variantes sont en forte hausse et restent peu connues du grand public.

Canal · SMS

Arnaque par SMS

01

La variante dominante, en hausse de 45% depuis janvier 2025. Le SMS reste le canal le plus efficace pour les fraudeurs : taux d'ouverture de 95%, lecture immédiate, vérification difficile sur mobile. Les campagnes actuelles sont automatisées et envoyées à des millions de personnes simultanément.

Exemple actif (mars 2026)

"MONDIALRELAY : Bonjour [Prénom], votre colis N°48291847 n'a pas pu être livré au [votre adresse]. Reprogrammez avant 23h59 : mr-livraison-fr.com"

Le bon réflexe :

Ne cliquez jamais sur le lien. Vérifiez le statut de votre colis sur mondialrelay.fr ou dans l'application officielle. Transférez le SMS au 33700.

Canal · Appel téléphonique

Arnaque par appel téléphonique

02

Un faux conseiller Mondial Relay vous appelle pour "confirmer une livraison". La nouveauté depuis 2025 : les deepfakes vocaux générés par IA permettent d'imiter une voix de conseiller de manière convaincante. Le spoofing de numéro officiel rend l'appel indistinguable d'un vrai contact.

À retenir : Mondial Relay ne vous appellera jamais pour vous demander un paiement ou vos coordonnées bancaires par téléphone, même si le numéro affiché semble officiel. Certains transporteurs peuvent en revanche appeler depuis un numéro en 07 pour des questions de livraison, mais jamais pour demander un paiement.

Le bon réflexe :

Raccrochez immédiatement si on vous demande un paiement. Rappelez uniquement via mondialrelay.fr ou l'application officielle.

Canal · E-mail

Arnaque par e-mail

03

Les copies sont visuellement parfaites en 2025-2026 : logo officiel, couleurs identiques, mise en page soignée, certificat SSL (cadenas vert). Certains fraudeurs poussent le détail jusqu'à inclure un avertissement anti-phishing dans leur propre e-mail frauduleux pour rassurer la victime.

À retenir : un cadenas HTTPS ne prouve pas la légitimité d'un site. Les fraudeurs obtiennent facilement des certificats SSL. Ce qui compte, c'est le nom de domaine exact dans la barre d'adresse.

Adresses officielles Mondial Relay

Toutes nos adresses se terminent par @mondialrelay.fr, @mondialrelay.be ou @mondialrelay.nl. Tout autre domaine est frauduleux.

Le bon réflexe :

Vérifiez le domaine complet de l'expéditeur. Signalez le message sur signal-spam.fr.

Canal · QR Code · Nouveau en 2025

Arnaque par QR code

04

Variante émergente encore peu connue. Les fraudeurs insèrent des QR codes frauduleux dans des courriers postaux, des autocollants collés sur des colis ou des affiches en Point Relais. Le QR code redirige vers un faux site de suivi ou de paiement. L'avantage pour les escrocs : les filtres anti-phishing ne lisent pas les images.

Avant de scanner un QR code lié à une livraison, vérifiez qu'il provient d'un document officiel et non d'un autocollant ajouté après coup.

Le bon réflexe :

Vérifiez l'URL avant d'ouvrir le lien. Tapez l'adresse manuellement dans le navigateur si vous avez le moindre doute.

Les 4 variantes en un coup d'œil

Variante Canal Signe distinctif Tendance 2026
Arnaque SMS SMS Lien raccourci, urgence, personnalisation ↑ +45% en 2025
Arnaque appel Appel vocal Deepfake vocal, spoofing numéro officiel ↑ Fort depuis 2025
Arnaque e-mail E-mail Copie parfaite, HTTPS, IA sans faute → Stable, très actif
Arnaque QR code QR code Courriers postaux, autocollants sur colis ↑ Émergent en 2025-2026

Comprendre pour résister

Les 4 leviers psychologiques exploités par les fraudeurs

Ces arnaques ne fonctionnent pas par hasard. Elles s'appuient sur des mécanismes cognitifs documentés. Les comprendre, c'est déjà désamorcer leur effet.

L'urgence artificielle

Le cerveau passe en mode "action" dès qu'une deadline est imposée. "Avant ce soir", "sous 24h", "dernière tentative" : ces formules court-circuitent la réflexion critique. Plus le délai est court, moins on vérifie.

Le bon réflexe : toujours ralentir face à l'urgence

L'autorité apparente

Quand un message semble venir d'une marque connue (Mondial Relay, La Poste, votre banque), la méfiance naturelle baisse automatiquement. Les fraudeurs exploitent la confiance que vous avez déjà accordée à ces entités.

Le bon réflexe : vérifier l'expéditeur, pas le nom affiché

La peur que le colis reparte

"Votre colis va repartir", "frais de retour à votre charge" : la crainte de perdre quelque chose (son colis, son argent) est psychologiquement plus puissante que la perspective d'un gain. Les fraudeurs jouent sur cette asymétrie.

Le bon réflexe : vérifier sur mondialrelay.fr ou l'app officielle

La personnalisation trompeuse

Un message qui contient votre prénom et vos premiers chiffres d'adresse déclenche instinctivement un sentiment de légitimité. "Ils me connaissent, c'est donc officiel." C'est exactement le piège : ces données proviennent de fuites, pas de Mondial Relay.

Le bon réflexe : la personnalisation ne prouve rien

Alerte · Mars 2026 · Inédit

La photo IA du livreur avec votre nom sur le bordereau

En mars 2026, un utilisateur a alerté sur une technique encore inédite. Il a reçu un SMS frauduleux accompagné d'une image générée par intelligence artificielle représentant un livreur tenant un colis Mondial Relay avec son prénom et nom imprimés sur le bordereau.

L'image est réaliste : uniforme de livreur, colis identifiable, étiquette avec les coordonnées de la victime. La cible ne voit plus un texte suspect : elle voit une preuve visuelle.

C'est une évolution majeure. Jusqu'ici, le phishing au colis était textuel. L'ajout d'une image personnalisée générée par IA franchit un nouveau palier dans la crédibilité des arnaques. Les données nécessaires (nom, prénom, transporteur) proviennent des fuites de bases de données évoquées en section 1.

→ Une photo d'un livreur avec votre nom ne prouve rien : c'est généré par IA en quelques secondes à partir de données volées

Exemple d'image générée par IA utilisée dans une arnaque au colis : un faux livreur tient un colis avec le nom de la victime sur le bordereau
Exemple réel d'image IA reçue par SMS en mars 2026. Le nom de la victime apparaît sur le bordereau du colis.

Comment fonctionne cette technique ?

1

Un outil d'IA génère une photo réaliste d'un livreur tenant un colis, avec votre nom imprimé sur l'étiquette.

2

L'image est jointe à un SMS personnalisé avec votre adresse et un lien vers un faux site transporteur.

3

La victime, convaincue par la preuve visuelle, clique sur le lien et saisit ses coordonnées bancaires sur le faux site.

Cas réel · Mars 2026

SMS reçu

"Bonjour, c'est le coursier-transporteurs j'ai fini ma tournée du matin il me reste votre paquet pour MATHIEU FLAIG au [adresse] dans le camion il ne rentrait pas dans le-casier. Merci de me donner une-instruction : [lien frauduleux]"

Ce qui rendait ce SMS si dangereux

  • Nom et prénom exacts de la victime
  • Adresse réelle incluse dans le message
  • Photo IA d'un livreur Mondial Relay tenant le colis avec le nom visible sur le bordereau
  • Image convaincante même pour un œil averti

Les indices qui trahissent la fraude

  • Demande de paiement via un lien SMS : aucun transporteur ne procède ainsi
  • Tirets incohérents dans le message ("le-casier", "coursier-transporteurs")
  • URL frauduleuse ne pointant pas vers mondialrelay.fr

Alertes actives 2025-2026

Techniques émergentes à connaître absolument

Ces méthodes sont peu documentées mais en forte progression. Les connaître vous donne une longueur d'avance sur les fraudeurs.

Été 2025 · Très actif

Le SMS "Bonjour, vous êtes chez vous ?"

Cette technique en deux temps est redoutable. Un premier SMS anodin vous demande si vous êtes disponible. Si vous répondez, votre numéro est marqué comme "actif" par un bot automatisé, et un second SMS avec un lien frauduleux vous est envoyé immédiatement.

Les applications de messagerie désactivent les liens dans les SMS de numéros inconnus, mais une fois que vous répondez, la conversation devient "légitime" et les liens s'activent.

Le bon réflexe : Ne jamais répondre à un SMS de numéro inconnu, même pour dire non

2025-2026 · En hausse

Le faux site de suivi avec formulaire de paiement

Le lien reçu par SMS ou e-mail mène vers un site qui copie fidèlement l'interface de suivi Mondial Relay : même mise en page, même logo, même numéro de colis. Une fois sur la page, un message indique que la livraison est bloquée et qu'il faut régler des "frais de douane" ou de "réexpédition" pour débloquer le colis.

Le montant est délibérément faible (1 à 3 €) pour ne pas éveiller les soupçons. En réalité, le formulaire enregistre vos coordonnées bancaires complètes, utilisées ensuite pour des achats frauduleux ou revendues sur le dark web.

Le bon réflexe : Mondial Relay ne demande jamais de paiement supplémentaire après l'achat · Vérifiez l'URL exacte avant de saisir quoi que ce soit

2026 · Nouveau vecteur

L'abonnement piège caché dans les micro-paiements

Ce scénario ne cherche pas à vider votre compte immédiatement. Après avoir saisi vos coordonnées pour "régler 1,99 €", vous êtes inscrit à un abonnement mensuel facturé entre 20 et 50 € qui passe inaperçu dans les relevés.

Le micro-paiement initial est un prétexte pour enregistrer vos données bancaires dans un système de prélèvement automatique. Certaines victimes ne s'en rendent compte qu'après plusieurs mois.

Le bon réflexe : Surveillez régulièrement vos relevés bancaires · Contestez immédiatement tout prélèvement inconnu auprès de votre banque

Réagir dans les minutes qui suivent

J'ai cliqué sur un lien douteux : que faire ?

Ça arrive. Ces arnaques sont conçues pour tromper des personnes raisonnables. Ce qui compte, c'est votre réaction dans les minutes qui suivent.

Situation 1

Aucun renseignement saisi

Fermez la page, supprimez le message, signalez-le. Aucune donnée n'a été compromise. Vous pouvez continuer normalement.

Le bon réflexe : Fermez la page immédiatement. Supprimez le message. Signalez-le au 33700 ou sur signal-spam.fr.

Situation 2

Coordonnées personnelles fournies

Changez vos mots de passe immédiatement depuis un autre appareil. Surveillez vos comptes dans les semaines suivantes. Vos données pourraient être revendues sur le dark web.

Le bon réflexe : Changez vos mots de passe depuis un autre appareil. Surveillez vos comptes dans les semaines qui suivent.

Situation 3 : priorité N°1

Coordonnées bancaires transmises

Appelez votre banque maintenant pour faire opposition. Vous avez 13 mois maximum après le débit pour demander le remboursement. Signalez ensuite sur la plateforme Perceval (FranceConnect) et déposez plainte.

Le bon réflexe : Faites immédiatement opposition auprès de votre banque. Signalez sur Perceval (FranceConnect). Déposez plainte.

Situation 4 : urgent

Fichier ou app téléchargé

Votre appareil peut être infecté et vos SMS bancaires interceptés. Déconnectez-vous d'Internet immédiatement, désinstallez l'application inconnue et consultez cybermalveillance.gouv.fr.

Le bon réflexe : Déconnectez-vous d'Internet immédiatement. Désinstallez l'application inconnue. Consultez cybermalveillance.gouv.fr.

Le moyen le plus sûr : l'application officielle

Suivez tous vos colis directement dans l'app Mondial Relay. Notifications authentiques, suivi en temps réel, aucun lien SMS à cliquer.

Déposez plainte dans tous les cas

Même sans connaître le fraudeur. Via la plateforme THESEE, en commissariat ou en gendarmerie. Conservez captures d'écran, SMS, e-mails et relevés bancaires.

Déposer plainte →

Agir collectivement

Comment signaler un hameçonnage ciblant Mondial Relay

Signaler n'est pas anodin. Chaque alerte aide à neutraliser des campagnes actives et protège des milliers d'autres personnes.

La protection la plus efficace : l'application officielle

Suivez tous vos colis dans l'app Mondial Relay. Notifications authentiques, suivi en temps réel, aucun lien SMS à cliquer.

À Mondial Relay

Transférez l'e-mail ou la capture d'écran du SMS. Chaque signalement contribue à notre système de détection et de blocage.

[email protected]

SMS frauduleux

Service officiel gratuit (Orange, SFR, Bouygues, Free). Transférez le SMS suspect au 33700 : les opérateurs bloquent les numéros.

33700

E-mail frauduleux

Signalez les e-mails frauduleux sur signal-spam.fr et marquez le message comme spam dans votre messagerie.

signal-spam.fr →

Site suspect

Signalez les URLs frauduleuses sur Phishing Initiative (Orange Cyberdefense) pour accélérer leur blocage en France.

phishing-initiative.fr →

Questions fréquentes

FAQ : Hameçonnage au colis Mondial Relay

J'ai reçu une photo d'un livreur avec mon nom sur le colis : est-ce une arnaque ?

Oui, avec une très forte probabilité. Depuis mars 2026, des campagnes de smishing utilisent des images générées par IA représentant un livreur tenant un colis avec votre nom imprimé sur le bordereau. Ces images sont produites automatiquement à partir de données personnelles volées lors de fuites. Ni Mondial Relay ni aucun transporteur officiel n'envoie de photo de livreur par SMS. Si vous recevez ce type de message, ne cliquez pas, signalez au 33700 et vérifiez l'état de votre colis directement sur mondialrelay.fr ou via l'application officielle Mondial Relay.

Qu'est-ce que le SMS "Bonjour, vous êtes chez vous ?" ?

C'est une technique de smishing en deux temps. Le premier SMS semble anodin pour déclencher une réponse de votre part. Une fois que vous répondez, votre numéro est marqué comme actif par un robot automatisé, et un second SMS avec un lien frauduleux vous est envoyé aussitôt. Ne répondez jamais à un SMS de numéro inconnu, même pour refuser.

Pourquoi les arnaques contiennent-elles mon adresse exacte ?

Les fraudeurs exploitent des données issues de fuites massives de bases de données de transporteurs et d'e-commerçants. Ces informations sont revendues sur le marché noir et permettent de personnaliser les messages avec votre nom, prénom et adresse. La personnalisation d'un message ne prouve absolument pas son authenticité.

Qu'est-ce que le quishing ?

Le quishing est une variante du phishing utilisant des QR codes frauduleux. Les escrocs insèrent ces codes dans des courriers postaux, des autocollants collés sur des colis ou dans des e-mails. En scannant le code, vous êtes redirigé vers un faux site de paiement ou de suivi. Les filtres anti-phishing classiques ne lisent pas les images, ce qui rend cette technique plus difficile à bloquer.

Un SMS sans faute d'orthographe est-il forcément légitime ?

Non. Depuis 2025, les fraudeurs utilisent des outils d'IA générative pour produire des messages en français parfait, sans faute. La qualité rédactionnelle ne peut plus servir de critère de vérification. Concentrez-vous sur l'expéditeur, l'URL et l'absence de demande de paiement.

J'ai payé 1,99 € mais rien ne s'est passé. Suis-je en danger ?

Oui. Ce micro-paiement est un prétexte pour enregistrer vos coordonnées bancaires dans un système de prélèvement automatique. Des abonnements entre 20 et 50 € peuvent être prélevés chaque mois sans que vous le remarquiez immédiatement. Contactez votre banque pour faire opposition, vérifiez vos relevés sur les 3 derniers mois et déposez plainte.

Qui contacter en cas d'hameçonnage ciblant Mondial Relay ?

Contactez d'abord votre banque si vous avez communiqué des coordonnées bancaires. Signalez ensuite à Mondial Relay ([email protected]), puis sur Signal Spam ou au 33700 pour les SMS. Déposez également plainte via service-public.fr ou dans un commissariat pour constituer un dossier officiel.

Fermer la boîte de dialogue

Se connecter

Mot de passe oublié

Veuillez patienter