Phishing SFR « facture impayée » : domaine sfr-fr.shop actif
Email SFR usurpant le service comptabilité avec menace de coupure pour facture impayée de 47,99 €. Lien vers sfr-fr.shop qui collecte CB et identifiants.
Le risque caché du « code SMS de confirmation »
Sur la vague SFR active depuis fin avril 2026, le piège principal n'est pas la facture impayée fictive de 47,99 € (qui sert d'amorce), ni même la CB qui sera détournée — c'est le code SMS de confirmation que la fausse page demande dans certaines variantes. Donner ce code peut ouvrir la voie à un SIM swap où l'attaquant prend le contrôle de ton numéro de téléphone et intercepte tous tes codes 2FA bancaires.
Objets observés : « Facture SFR impayée — régularisation immédiate », « Suspension imminente de votre ligne SFR », « Action requise sur votre espace SFR ».
Les deux niveaux de risque
Phishing-credentials, avec un montant d'amorce calibré (47,99 € = ordre de grandeur d'un forfait mobile français standard, donc plausible) et une menace d'urgence factice (« coupure sous 24 h »).
Domaines actifs : sfr-fr.shop, espace-sfr-fr.com, sfr-paiement.fr. Le faux espace client demande successivement :
Niveau 1 — risque limité : email + mot de passe SFR. Conséquences : accès aux factures, à l'adresse postale, parfois aux contrats. Revente du compte sur marketplaces underground (~2-4 €).
Niveau 2 — risque modéré : CB pour régler la « facture ». Conséquences : achats frauduleux dans les 24-72 h suivantes.
Niveau 3 — risque grave : code SMS « de confirmation ». C'est là que l'attaque change de catégorie. Le code SMS donné permet en réalité de valider une demande de SIM swap auprès de SFR, c'est-à-dire de transférer le numéro de la victime sur une carte SIM contrôlée par l'attaquant. À partir de là, l'attaquant intercepte tous tes codes 2FA SMS — banque, crypto, mail. Le compromis bancaire peut suivre dans les jours qui suivent.
Aucun code SMS reçu hors d'un contexte explicite et initié par toi ne doit être communiqué. Si tu reçois un code que tu n'as pas demandé, c'est qu'un attaquant tente de valider une action en ton nom.
Famille proche : phishing Free Mobile, smishing Orange Livebox. Les trois grands opérateurs FR sont ciblés en parallèle sur le printemps 2026.
Comment reconnaître
- Domaine officiel : sfr.fr (et uniquement)
- SFR ne menace jamais de coupure sous 24 h par email — la procédure officielle est plus longue, avec courriers postaux
- Connecte-toi directement sur sfr.fr ou via l'app pour vérifier le statut de ton compte
Que faire si concerné
- Ne clique pas. Signale comme phishing
- Si identifiants SFR saisis : change le mot de passe + active la double authentification
- Si CB saisie : opposition à la banque
- Si tu as donné un code SMS « de confirmation » : appelle SFR immédiatement (1023) pour signaler la tentative de SIM swap. Demande à activer un code PIN client qui bloque toute modification de SIM sans validation supplémentaire — c'est la défense la plus solide
- Surveille tes comptes bancaires en temps réel sur les 48 h suivantes
Sources
Sources
Même marque ou même canal
Alerte rédigée par l'équipe éditoriale killscam après recoupement de sources publiques (2 références citées ci-dessus). Première observation par notre veille le 28 avril 2026. Dernière vérification le 08 mai 2026.
Nos critères de publication, nos sources et nos garanties éditoriales sont détaillés sur la page méthodologie. Une info à corriger ou une nuance à ajouter ? écris-nous.