Marie Bourdellès
De faux acheteurs pratiquent le phishing
Leboncoin est à nouveau la cible d’arnaques. Cette fois, les escrocs s’appuient sur l’outil de paiement en ligne lancé à la rentrée dernière par le site de petites annonces. Ils envoient des tentatives de phishing via SMS à des particuliers vendeurs. Leur objectif : récupérer leurs coordonnées bancaires, mais aussi leur numéro de portable.
Leboncoin représente un terrain de jeux idéal pour les escrocs. À la rentrée dernière, le site de petites annonces a ouvert un service de paiement en ligne (voir encadré). Ni une ni deux, les malfaiteurs se sont rués sur cette fonctionnalité et ont inventé une nouvelle technique de phishing. Un vendeur reçoit un SMS provenant d’un numéro de portable non masqué. L’expéditeur lui annonce qu’un paiement a été effectué, référence de l’offre à l’appui, et ajoute un lien renvoyant vers un faux site Leboncoin. Ce site affiche l’offre du vendeur pour le mettre en confiance. Seule condition pour que le versement soit validé : il doit renseigner ses coordonnées bancaires. Une fois cette étape accomplie, le piège se referme. L’escroc qui se cache derrière ces messages récupère les informations. Non seulement le vendeur n’a réalisé aucune vente, mais, bien plus grave, il risque de se faire piller son compte bancaire !
Madame P. a fait les frais de cette arnaque en mai dernier. Plusieurs petits détails lui ont mis la puce à l’oreille : renvoi vers un site Internet et non vers l’application Leboncoin après avoir cliqué sur le lien du SMS, paiement de 0,01 € à exécuter pour valider ses coordonnées bancaires, site très lent… Mais le fait de voir sa « vraie » annonce dès l’ouverture du site, ainsi que la joie d’avoir vendu aussi rapidement sa lampe à 250 € l’ont convaincue. « Tout de même méfiante, j’ai cherché sur Internet le site en question. J’ai alors vu des témoignages sur le forum de Que Choisir, j’ai compris que c’était une arnaque. J’ai aussitôt fait opposition sur ma carte bancaire. Ma banque a été très compréhensive et m’a remboursé les frais d’opposition », raconte Madame P., qui n’a subi aucun vol grâce à sa réactivité.
Le spoofing s’invite dans le processus
Cette arnaque est double : les personnes malveillantes qui s’essaient à ces tentatives de phishing pratiquent le spoofing. Autrement dit, ils usurpent le numéro de téléphone de particuliers pour se faire passer ensuite pour des acheteurs honnêtes. Madame B. en a été victime : « J’ai reçu un SMS sur mon portable me disant que j’avais reçu un prépaiement pour un article que j’avais à vendre. J’ai cliqué sur le lien. J’ai donné mon numéro de portable, puis on m’a demandé mes coordonnées bancaires. Mais je ne les ai pas fournies. » Si cette consommatrice a bien réagi, elle s’est malheureusement fait usurper son numéro, que les escrocs ont utilisé pour appâter d’autres personnes ayant déposé une annonce. Elle a reçu de nombreux appels de vendeurs Leboncoin qui avaient reçu le même message qu’elle.
Que faire en cas d’arnaque sur Leboncoin
Si vous êtes victime de cette arnaque, il est important d’avertir Leboncoin. Le site de petites annonces ne souhaite pas communiquer sur l’ampleur de l’arnaque, mais est conscient du phénomène : « Nous n’avons pas de prise sur les SMS de phishing, puisque les fraudeurs passent directement par les opérateurs téléphoniques. Cependant, quand nous sommes informés de ce type de pratique, nous alertons les opérateurs. » Et lorsqu’un site Internet usurpe son identité, il fait le nécessaire pour le faire fermer au plus vite. Leboncoin dispense également des conseils en ligne pour ne pas se faire piéger.
- Portez plainte au commissariat. Leboncoin est en contact avec la police, qui lui transmet une demande de réquisition lorsqu’un consommateur porte plainte. « Une personne est employée à temps plein pour y répondre », indique le site.
- Alertez votre banque et faites immédiatement opposition sur votre carte bancaire lorsque vous découvrez le piège. Après cela, surveillez votre compte pendant quelques jours.
- Si vous avez le moindre doute concernant l’expéditeur d’un message, ne donnez pas suite avant de vous être renseigné, notamment sur le site vers lequel vous êtes dirigé. La seule URL valable pour ces transactions est www.leboncoin.fr.
Service de paiement Leboncoin, comment ça marche ?
À l’automne dernier, Leboncoin a lancé un outil intégré de paiement en ligne géré par le prestataire Adyen, spécialisé dans le paiement électronique. Toutes les opérations liées à ce service se déroulent via la messagerie de Leboncoin.fr. Plusieurs étapes de validation se succèdent jusqu’à la vente.
- L’acheteur envoie une offre au vendeur. Ce dernier dispose de 24 heures pour y répondre.
- Si l’offre est acceptée, l’acheteur est averti par message et peut procéder au paiement sécurisé, comme sur un site d’e-commerce lambda.
- Le vendeur doit renseigner son IBAN depuis son compte Leboncoin afin de recevoir l’argent. La somme est bloquée par le site jusqu’à ce que l’acheteur confirme la réception du colis.
- Si une telle confirmation n’est pas transmise au bout de 14 jours, l’argent est automatiquement versé au vendeur. Cependant, l’acheteur peut signaler au site, avant ce délai, qu’il n’a pas reçu sa commande.