Arnaques en cours — semaine du 18 au 24 mai 2026 (en cours)
du 18 mai 2026 au 24 mai 2026 · publié le 22 mai 2026 à 11:00 · lecture 2 min
La semaine est encore en cours au moment de cette publication — récap mis à jour au fil des détections. Trois lignes de fond se dessinent déjà : la diffusion massive du faux SMS Engie « créance » qui a saturé les opérateurs FR le 19 mai, l'arrivée d'une vague Binance « sécurisation portefeuille » avec collecte de seed phrase (la plus dangereuse de la semaine, dégâts irréversibles), et la confirmation que les faux sites administratifs forment désormais une famille cohérente — carte grise, ANTAI, préfecture, DGFIP.
Ce qui domine — début de semaine
SMS Engie « créance impayée 38,42 € » — la diffusion la plus massive observée depuis le début du mois. Première remontée Signal-Spam dans la nuit du 18 au 19 mai, pic confirmé le lundi matin. Domaines en .top enregistrés moins de 72 h avant la salve, pattern classique. Alerte Engie complète.
[Phishing](/glossaire#phishing) Binance « sécurisation portefeuille » — c'est l'arnaque qui pèse le plus en gravité unitaire cette semaine. La collecte de seed phrase signifie que la perte est définitive et irréversible côté blockchain. Détectée le 21 mai, on creuse encore l'ampleur exacte de la vague et la chaîne Etherscan. Alerte Binance.
SMS — la famille « petit montant + 3DS »
Trois variantes actives en parallèle cette semaine, toutes sur la même mécanique : montant ridicule en façade, débit réel via 3DS détourné dans l'heure.
- Engie : 38,42 € de « créance » → détails
- Chronopost : 2,99 € de « re-livraison » → détails
- Cdiscount (nouveauté détectée le 21) : 1,50 € de « problème de livraison » → détails
Si on ajoute les variantes des semaines précédentes (Doctolib, Orange Livebox, Ameli carte Vitale), on a une famille smishing-paiement qui sature actuellement les opérateurs FR. La défense est identique pour toutes : ne donner jamais son code 3DS hors d'un paiement initié explicitement par soi-même.
Email — DGFIP en pic calendaire, Binance en gravité
Le faux remboursement DGFIP 387,12 € reste massif à l'approche de la régularisation fiscale — c'est un classique calendaire, le créneau attendu de remboursement administratif rend la victime moins critique. La collecte ne se limite pas à la CB : pièce d'identité + IBAN + numéro fiscal forment le kit complet d'usurpation. Alerte DGFIP.
Web — les faux sites administratifs forment système
Le faux site préfecture « RDV titre de séjour » détecté le 22 mai complète une famille déjà bien documentée : faux site carte grise, faux site ANTAI amende, faux remboursement DGFIP. Tous exploitent la même mécanique fake-admin-site — pub Google Ads au-dessus du résultat officiel, design administratif crédible, surfacturation ou collecte de documents identité.
Cible spécifique de la vague préfecture : demandeurs de titre de séjour, public vulnérable qui hésite à signaler. Alerte préfecture.
Ce qu'il faut retenir cette semaine
- Ne donne jamais une seed phrase crypto. À personne, sous aucun prétexte, sur aucune plateforme. La règle n'a pas d'exception
- Aucun fournisseur d'énergie (Engie, EDF, TotalEnergies) ne réclame un paiement par SMS direct avec lien — relance officielle = courrier ou app
- Démarche administrative ? Vérifie que tu es sur un site en
.gouv.fr. Aucun intermédiaire payant n'est nécessaire pour un RDV préfecture, une carte grise ou un remboursement DGFIP - Code 3DS reçu sans avoir initié toi-même un paiement = un attaquant essaie de valider une transaction en ton nom. Ne le communique jamais à personne, surtout pas à quelqu'un qui t'appelle
Récap mis à jour au fil des détections sur la fenêtre 18-24 mai 2026.