Arnaque au faux SMS colis en Suisse : comment ne pas se faire piéger

TL;DR — Les arnaques aux faux SMS de livraison (smishing) sont l'une des escroqueries les plus répandues en Suisse en 2026. Le scénario : vous recevez un SMS prétendant venir de La Poste, DHL, FedEx ou UPS vous demandant de payer CHF 1–5 pour libérer un colis ou de cliquer pour confirmer une livraison. En réalité, c'est une tentative de vol de données bancaires ou d'installation de malware. Voici comment réagir.

À quoi ressemble le faux SMS de colis ?

Ces messages sont conçus pour paraître officiels. Exemples typiques :

« La Poste CH : votre colis #CH92847263 est en attente. Frais de douane : CHF 2.50. Réglez ici : [lien] »

« DHL : Votre livraison a été suspendue. Confirmez votre adresse : [lien] »

« FedEx : Tentative de livraison échouée. Reprogrammez : [lien] »

Ces messages arrivent sur des numéros inconnus, parfois usurpant des noms d'expéditeur officiels (« LaPoste », « DHL-CH »). Le lien redirige vers un site copiant exactement l'interface de La Poste, DHL ou FedEx.

Les 5 signes qui trahissent une arnaque

• Vous n'attendez aucun colis — mais parfois les escrocs envoient des millions de SMS en espérant tomber sur quelqu'un qui attend effectivement une livraison
• Le lien n'est pas le domaine officiel : laposte.ch → officiel ; lapostch-colis.com → arnaque. Vérifiez toujours l'URL complète
• Demande de paiement par SMS : La Poste Suisse, DHL, FedEx ne demandent JAMAIS le paiement de frais via un lien SMS
• Urgence artificielle : « votre colis sera retourné dans 24h si... » — technique classique pour précipiter le clic
• Fautes d'orthographe ou formulations étranges : souvent générés automatiquement, ces SMS contiennent parfois des erreurs de langue

Que se passe-t-il si vous cliquez sur le lien ?

Deux scénarios selon l'arnaque :

Scénario 1 : vol de données bancaires

Le site factice vous demande votre numéro de carte de crédit pour payer les « frais de CHF 2.50 ». Les pirates récupèrent votre numéro de carte, date d'expiration et CVV. Ils effectuent ensuite des achats frauduleux ou revendent vos données.

Scénario 2 : installation de malware (Android principalement)

Le lien déclenche le téléchargement d'une application (.apk) qui s'installe sur votre Android et récupère tous vos SMS (y compris les codes 2FA), vos contacts, et vos mots de passe. Ce type de malware (souvent nommé FluBot, Cabassous) s'est répandu massivement en Suisse.

Vous avez cliqué : que faire maintenant ?

Si vous n'avez entré aucune information

Bonne nouvelle : cliquer seul sur le lien n'est généralement pas dangereux si vous n'avez rien entré. Fermez le site immédiatement. Si une application a commencé à s'installer, ne la lancez pas et supprimez le fichier .apk dans vos téléchargements.

Si vous avez entré vos données bancaires

1. Appelez immédiatement votre banque pour bloquer la carte et signaler la fraude
2. Changez le mot de passe de votre e-banking depuis un autre appareil
3. Surveillez vos relevés pendant les 30 prochains jours
4. Signalez à votre banque — en Suisse, les fraudes par phishing peuvent être remboursées si signalées rapidement

Si vous pensez avoir installé un malware

1. Déconnectez le téléphone du WiFi et du réseau mobile (mode avion)
2. Ne confirmez aucune opération bancaire depuis ce téléphone
3. Sur Android : Paramètres → Applications → cherchez toute app installée récemment que vous ne reconnaissez pas et désinstallez-la
4. En cas de doute, faites analyser l'appareil ou réinitialisez-le en usine

Comment signaler l'arnaque en Suisse

• NCSC (Centre national pour la cybersécurité) : signalement en ligne sur report.ncsc.admin.ch
• Police cantonale : déposez une plainte, surtout si vous avez subi un préjudice financier
• Votre opérateur téléphonique : Swisscom, Sunrise et Salt ont des services de signalement de SMS frauduleux
• La Poste Suisse : elle dispose d'un formulaire de signalement des usurpations de son nom

FAQ — Arnaque SMS colis

La Poste Suisse envoie-t-elle réellement des SMS ?

Oui, La Poste CH envoie parfois des SMS d'avis de passage, mais depuis des numéros officiels et sans jamais demander un paiement par lien. En cas de doute, connectez-vous directement sur post.ch avec votre numéro de suivi pour vérifier l'état de votre colis — sans utiliser le lien du SMS.

Est-ce que DHL et FedEx pratiquent des frais de douane payables par SMS ?

Non. Les frais de douane légitimes sont communiqués par courrier officiel ou directement à la livraison. Aucun transporteur sérieux ne demande un paiement par lien SMS.

Puis-je me faire rembourser si j'ai été victime ?

Potentiellement oui pour les débits frauduleux sur carte. Contactez immédiatement votre banque. En Suisse, les banques remboursent souvent les victimes de phishing lorsque la fraude est signalée rapidement et que le client n'a pas commis de négligence grave. Déposez également une plainte pénale — cela constitue un dossier pour votre dossier assurance.

Mon téléphone est-il infecté si j'ai juste ouvert le SMS sans cliquer ?

Non. Ouvrir un SMS ne peut pas infecter votre téléphone. Le risque commence uniquement si vous cliquez sur le lien ET acceptez d'installer une application.

Votre appareil a été infecté ? CyberClinique intervient

Si vous pensez que votre téléphone ou PC a été infecté suite à un clic sur un lien frauduleux, CyberClinique diagnostique et nettoie votre appareil. Suppression de malware, vérification des applications suspectes, sécurisation de vos comptes — nous intervenons à Yverdon, Lausanne, Grandson. Appelez le 079 716 53 82.