L’arnaque au paiement sécurisé sur Leboncoin : on s’est fait piéger pour vous !

Ce n’est pas spécialement nouveau : le célèbre site d’annonces rencontre un franc succès auprès des internautes francophones mais également auprès des escrocs. On y retrouve ainsi de nombreux brouteurs d’Afrique de l’ouest qui s’adonnent aux célèbres arnaques d’avance de frais. Leur objectif ? Plumer les utilisateurs de la plateforme. Dans le but de réduire le nombre de victimes quotidiennes liées à ces arnaques, Leboncoin a mis en place un système de paiement sécurisé. Ni une, ni deux… Les arnaqueurs se sont adaptés et l’utilisent désormais pour monter une nouvelle arnaque ! On vous explique tout 😉

Une histoire de chaussures

Émilie* est une utilisatrice du Bon coin. Elle a décidé de vendre une paire de chaussures médicales au prix de 10 €.

Bonjour, votre annonce est-elle toujours disponible ?

Quelques heures après la mise en ligne de son annonce, elle reçoit un SMS plutôt “classique” :

SMS reçu par un acheteur

Dans ce cas, il s’agit d’une prise de contact par SMS mais elle aurait très bien pu être initiée par la messagerie interne du site Leboncoin.

L’acheteur confirme ainsi son intérêt pour l’annonce en indiquant qu’il préfère payer par PayPal ou par le système sécurisé proposé par la plateforme. Ce type de discours est clairement rassurant… Émilie poursuit donc les échanges avec l’acheteur supposé. Jusqu’ici, tout va bien ! 😎

La vente est conclue… et le paiement initialisé :

Paiement en cours… ça devient bon !

Émilie est donc informée qu’un paiement a été réalisé via Leboncoin pourtant rien n’est visible sur son compte perso… Suspect ! Elle fait part à son interlocuteur de l’absence de notifications sur Leboncoin.

Un bug peut-être ? 🤨

Paiement sécurisé confirmé… Ouf !

Très peu de temps après, un nouveau SMS arrive :

Il provient du numéro 38601 ! Comme le numéro n’est pas celui du vendeur et qu’il est composé de 5 chiffres, Émilie est en totale confiance… Elle pense qu’il ne peut pas falsifier ce genre de numéro !

Le SMS reçu confirme le paiement de 10 € et que les informations bancaires sont en attente pour finaliser la transaction. Parfait ! Plus qu’à suivre le lien indiqué dans le SMS…

L’arnaque commence…

Quand on clique sur le lien, on arrive sur cette page :

Fausse page Leboncoin

On tombe sur un site à l’image de Leboncoin qui nous confirme que le paiement a bien été réalisé mais qu’il faut transmettre ses informations bancaires pour recevoir les fonds. Émilie a senti l’arnaque et a décidé de ne pas aller plus loin… mais pour vous, nous avons décidé de creuser et de nous laisser tomber dans le piège !

Comme nous l’indiquons dans le titre de ce présent paragraphe, c’est précisément ici que l’arnaque commence. Le vendeur a utilisé un service tiers pour envoyer un SMS à partir du 38601.

Il s’agit en réalité de ce que l’on nomme un numéro court transactionnel partagé : Il est envoyé par un service intermédiaire qui travaille pour les services légitimes mais également pour les réseaux d’escrocs. Nous n’allons pas nous attarder sur cet aspect largement détaillé sur Signal-Arnaques.

Retenez juste que vous ne pouvez pas présager de l’honnêteté d’un SMS parce qu’il est transmis par un numéro à 5 chiffres…

On récupère vos infos de connexion au bon coin

Du coup, poursuivons en cliquant sur “confirmer” :

Le site nous présente alors une interface de connexion très fortement similaire à celle du site officiel. Ne vous y trompez pas, ce n’est que du fake ! D’ailleurs, il suffit de taper n’importe quelle information pour passer à l’étape suivante… Tentons notre chance avec “Jesuisunescroc@com.com” en identifiant et “abcdef” comme mot de passe.

Ça marche !!! 🎉

Si vous ne l’avez pas encore compris, l’objectif de l’escroc qui a échangé avec Émilie sur Leboncoin est de récupérer un max d’informations en s’appuyant sur un motif légitime (une vente et notamment un transfert d’argent). Maintenant que nous sommes rentrés dans son “tunnel de conversion” qui n’a pour unique objectif de transformer un “vendeur” en “victime”, il ne se prive pas.

L’étape de connexion lui permet ainsi de récupérer les identifiants de compte pour monter d’autres arnaques. Eh oui, quoi de mieux que de se faire passer pour Émilie (honnête internaute qui vend des chaussures) en tentant de piéger d’autres personnes… Poursuivons donc !

On siphonne vos informations bancaires

Une fois que vous avez saisi vos identifiants, le faux site vous oriente vers une page chargée de recueillir vos informations bancaires.

Le prétexte avancé est une opération de contrôle en vue de procéder au règlement mais la réalité est évidemment toute différente : l’escroc qui a créé le site récupère juste vos informations bancaires en vue d’une utilisation ultérieure.

Informations bancaires demandées

Aucun paiement n’est réalisé à cet instant, c’est juste que vous venez de positionner une épée de Damoclès au-dessus de votre tête 🙄. En effet, toutes les informations déposées sur cette page sont suffisantes pour payer en ligne à votre place.

Mais non, ce n’est pas suffisant, si le gars essaie d’acheter quelque chose, il sera bloqué par la double authentification bancaire !

Alors oui, vous avez raison en partie, mais c’est sans compter sur la suite de l’arnaque…

Et c’est pas fini !

On remplit donc tous les champs de formulaire avec de fausses infos bancaire et on tombe sur cette page : l’arnaqueur derrière le faux site a donc sorti la grosse artillerie…

En plus des informations liées à la carte bancaire, d’autres informations sont demandées : Le nom de votre banque, votre identifiant et votre mot de passe d’accès à votre espace personnel. Décidemment, le gars ne doute de rien ! 😂

Pourquoi demande-t-il ces informations ?

Pour 2 raisons :

Une fois cette dernière étape validée, vous tombez sur un gentil message de confirmation :

Confirmation Leboncoin

Une arnaque bien ficelée et intelligente

Alors oui, en lisant ces quelques lignes, vous vous dites forcément que personne ne remplirait les informations demandées par le site frauduleux. Eh bien, vous avez raison si vous raisonnez sur la majorité des internautes, mais il existe malgré tout une minorité moins habituée avec les pièges d’internet. Ils sont ainsi enclins à tomber dans ce genre d’arnaque.

Pourquoi les escrocs se donneraient tant de mal si cela ne fonctionnait pas ?

Quoiqu’il en soit, vous aurez remarqué l’évolution intelligente et progressive de cette escroquerie qui usurpe Leboncoin. Les informations sont récoltées au fur et à mesure par les escrocs allant des plus faciles à récupérer aux plus complexes :

  • Récupération des identifiants de connexion de Leboncoin
  • Vol des données bancaires
  • Recueil des informations liées à votre banque

Dites-vous bien que l’escroc récupère les informations au fur et à mesure des écrans suivis et n’attend pas que vous validiez le formulaire final.

Quels sont les risques de cette arnaque ?

Comme nous venons de la voir, l’arnaque décrite ici est simple mais particulièrement redoutable car elle vous expose à de nombreux risques en peu de temps :

  1. La perte de votre bien : certaines personnes pourraient se satisfaire du message de confirmation pour envoyer leur bien. Alors autant que pour une paire de chaussure à 10 euros, le préjudice resterait faible mais qu’en serait-il pour un ordinateur à 1000 euros ? Ne croyez pas non plus que vous arriverez à débusquer l’escroc en ayant sa réelle adresse postale. En réalité, ils utilisent une autre arnaque pour les récupérer : L’arnaque à la consignation. La personne qui reçoit votre colis est en réalité une autre victime 😣
  2. Le piratage de votre compte Leboncoin : En donnant vos identifiants à l’escroc, vous vous exposez à ce qu’il change vos informations bancaires pour recevoir des paiement à votre place. Le second risque est qu’il usurpe votre identité pour piéger d’autres internautes.
  3. Le vol de vos données bancaires : Lorsqu’elles sont en possession d’un escroc, ce dernier peut les utiliser lui-même ou les revendre sur le Darknet.
  4. Le piratage de votre compte bancaire : Habituellement récupérés grâce aux arnaques de phishing bancaires, vos identifiants peuvent permettre l’accès à votre compte. L’arnaqueur a alors le choix de se connecter à votre compte ou de revendre les données.

Comment éviter l’arnaque ?

Malgré les apparences, cette arnaque est très simple à éviter pourvue que l’on respecte une seule règle d’or :

Ne sortez jamais de la plateforme

Que vous utilisiez l’application Leboncoin ou son site internet, fuyez tout comportement qui cherche à vous en faire sortir. C’est aussi simple que ça !

Pour cela :

  • Ne donnez pas votre numéro de téléphone lors de votre dépôt d’annonce. Cela évitera qu’une conversation en dehors du site soit initiée…
  • Utilisez la messagerie interne du Bon coin autant que possible.
  • Ne suivez aucun lien sortant éventuellement présent dans un message. Souvent, les escrocs utilisent des liens raccourcis pour mieux vous piéger. Cela permet de cacher la destination réelle vers laquelle ils cherchent à vous faire atterrir.
  • Utilisez autant que possible le système de paiement sécurisé intégré au site (le vrai 😁). Alors oui, certains diront qu’il est perfectible mais en attendant, avouons qu’il n’est pas si mal.
  • Si vous récupérez des informations sur votre interlocuteur, faites des recherches sur internet avec les éléments en votre possession.

Que faire si vous êtes tombé dans l’arnaque ?

La réponse à cette question dépend grandement des informations que vous avez communiquées. Plus vous êtes rentré dans l’arnaque, plus vous aurez du travail 😋

Voici ce que je préconise :

  1. Signalez l’arnaque sans tarder : Les informations que vous donnerez publiquement permettront à d’autres internautes de ne pas tomber dans le même piège que vous.
  2. Si vous avez donné vos identifiants de Leboncoin :
  3. Si vous avez envoyé votre colis, suivez les conseils donnés dans le 4ème paragraphe de cet article. Il est possible de le récupérer sous certaines conditions.
  4. Si vous avez transmis vos informations bancaires à l’escroc, prenez contact avec votre banque sans délais ! Cette dernière vous proposera très probablement de réaliser une opposition et de commander une nouvelle carte. Dans l’urgence, il est possible de contacter le centre d’opposition des cartes bancaires.
  5. Si jamais vous avez mis le bras complet dans l’engrenage en donnant vos identifiants d’accès à votre compte bancaire, contactez rapidement votre banque.

Je pense qu’on a fait le tour de cette arnaque au paiement sécurisé sur Leboncoin. Vous avez une expérience à partager ? N’hésitez pas à le faire via les commentaires. Merci beaucoup !

Recherches associées

33 réponses

  1. Jérôme dit :

    je viens d’être arnaqué sur le Bon coin pour l’achat d’une voiture Suite au contact sur le bon coin et au téléphone avec le vendeur, je fais virer la somme de 14000€ par ma banque sur le RIB du site sécurisé du bon coin le mercredi. Le vendeur me dit qu’il est en vacances, il rentre vendredi, et me fera parvenir son adresse et une copie de la carte grise pour pouvoir assurer le véhicule, et venir le chercher dimanche. Vendredi, aucune nouvelle du vendeur, Je précise que j’ai suivi la procédure de réservation du site, sans en sortir.L’escros, a réussi a mettre son RIB dans la procédure, a la place de celui du Bon coin ! Dépôt de plainte contre l’escrocs, mais je pense perdre mon temps. Demain, je dépose une autre plainte, mais contre le bon coin, qui manifestement propose un site qui n’ai pas du tout SECURISE ! Aujourd’hui, je n’ai plus de véhicule est 14000€ disparu !

  2. Monteil dit :

    Effectivement ça c’est passé comme ça, j’ai eu un doute quand en lisant une explication sur le pourquoi donner ces coordonnées bancaires, une faute de grammaire est apparue… encore une arnaque assez bien faite… Ils ont même cherché à me contacter du numéro +33644688373 signalé sur mon téléphone comme une suspicion de spam.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *