L’arnaque au paiement sécurisé sur Leboncoin : on s’est fait piéger pour vous !

Ce n’est pas spécialement nouveau : le célèbre site d’annonces rencontre un franc succès auprès des internautes francophones mais également auprès des escrocs. On y retrouve ainsi de nombreux brouteurs d’Afrique de l’ouest qui s’adonnent aux célèbres arnaques d’avance de frais. Leur objectif ? Plumer les utilisateurs de la plateforme. Dans le but de réduire le nombre de victimes quotidiennes liées à ces arnaques, Leboncoin a mis en place un système de paiement sécurisé. Ni une, ni deux… Les arnaqueurs se sont adaptés et l’utilisent désormais pour monter une nouvelle arnaque ! On vous explique tout 😉

Une histoire de chaussures

Émilie* est une utilisatrice du Bon coin. Elle a décidé de vendre une paire de chaussures médicales au prix de 10 €.

Bonjour, votre annonce est-elle toujours disponible ?

Quelques heures après la mise en ligne de son annonce, elle reçoit un SMS plutôt « classique » :

SMS reçu par un acheteur

Dans ce cas, il s’agit d’une prise de contact par SMS mais elle aurait très bien pu être initiée par la messagerie interne du site Leboncoin.

L’acheteur confirme ainsi son intérêt pour l’annonce en indiquant qu’il préfère payer par PayPal ou par le système sécurisé proposé par la plateforme. Ce type de discours est clairement rassurant… Émilie poursuit donc les échanges avec l’acheteur supposé. Jusqu’ici, tout va bien ! 😎

La vente est conclue… et le paiement initialisé :

Paiement en cours… ça devient bon !

Émilie est donc informée qu’un paiement a été réalisé via Leboncoin pourtant rien n’est visible sur son compte perso… Suspect ! Elle fait part à son interlocuteur de l’absence de notifications sur Leboncoin.

Un bug peut-être ? 🤨

Paiement sécurisé confirmé… Ouf !

Très peu de temps après, un nouveau SMS arrive :

Il provient du numéro 38601 ! Comme le numéro n’est pas celui du vendeur et qu’il est composé de 5 chiffres, Émilie est en totale confiance… Elle pense qu’il ne peut pas falsifier ce genre de numéro !

Le SMS reçu confirme le paiement de 10 € et que les informations bancaires sont en attente pour finaliser la transaction. Parfait ! Plus qu’à suivre le lien indiqué dans le SMS…

L’arnaque commence…

Quand on clique sur le lien, on arrive sur cette page :

Fausse page Leboncoin

On tombe sur un site à l’image de Leboncoin qui nous confirme que le paiement a bien été réalisé mais qu’il faut transmettre ses informations bancaires pour recevoir les fonds. Émilie a senti l’arnaque et a décidé de ne pas aller plus loin… mais pour vous, nous avons décidé de creuser et de nous laisser tomber dans le piège !

Comme nous l’indiquons dans le titre de ce présent paragraphe, c’est précisément ici que l’arnaque commence. Le vendeur a utilisé un service tiers pour envoyer un SMS à partir du 38601.

Il s’agit en réalité de ce que l’on nomme un numéro court transactionnel partagé : Il est envoyé par un service intermédiaire qui travaille pour les services légitimes mais également pour les réseaux d’escrocs. Nous n’allons pas nous attarder sur cet aspect largement détaillé sur Signal-Arnaques.

Retenez juste que vous ne pouvez pas présager de l’honnêteté d’un SMS parce qu’il est transmis par un numéro à 5 chiffres…

On récupère vos infos de connexion au bon coin

Du coup, poursuivons en cliquant sur « confirmer » :

Le site nous présente alors une interface de connexion très fortement similaire à celle du site officiel. Ne vous y trompez pas, ce n’est que du fake ! D’ailleurs, il suffit de taper n’importe quelle information pour passer à l’étape suivante… Tentons notre chance avec « Jesuisunescroc@com.com » en identifiant et « abcdef » comme mot de passe.

Ça marche !!! 🎉

Si vous ne l’avez pas encore compris, l’objectif de l’escroc qui a échangé avec Émilie sur Leboncoin est de récupérer un max d’informations en s’appuyant sur un motif légitime (une vente et notamment un transfert d’argent). Maintenant que nous sommes rentrés dans son « tunnel de conversion » qui n’a pour unique objectif de transformer un « vendeur » en « victime », il ne se prive pas.

L’étape de connexion lui permet ainsi de récupérer les identifiants de compte pour monter d’autres arnaques. Eh oui, quoi de mieux que de se faire passer pour Émilie (honnête internaute qui vend des chaussures) en tentant de piéger d’autres personnes… Poursuivons donc !

On siphonne vos informations bancaires

Une fois que vous avez saisi vos identifiants, le faux site vous oriente vers une page chargée de recueillir vos informations bancaires.

Le prétexte avancé est une opération de contrôle en vue de procéder au règlement mais la réalité est évidemment toute différente : l’escroc qui a créé le site récupère juste vos informations bancaires en vue d’une utilisation ultérieure.

Informations bancaires demandées

Aucun paiement n’est réalisé à cet instant, c’est juste que vous venez de positionner une épée de Damoclès au-dessus de votre tête 🙄. En effet, toutes les informations déposées sur cette page sont suffisantes pour payer en ligne à votre place.

Mais non, ce n’est pas suffisant, si le gars essaie d’acheter quelque chose, il sera bloqué par la double authentification bancaire !

Alors oui, vous avez raison en partie, mais c’est sans compter sur la suite de l’arnaque…

Et c’est pas fini !

On remplit donc tous les champs de formulaire avec de fausses infos bancaire et on tombe sur cette page : l’arnaqueur derrière le faux site a donc sorti la grosse artillerie…

En plus des informations liées à la carte bancaire, d’autres informations sont demandées : Le nom de votre banque, votre identifiant et votre mot de passe d’accès à votre espace personnel. Décidemment, le gars ne doute de rien ! 😂

Pourquoi demande-t-il ces informations ?

Pour 2 raisons :

Une fois cette dernière étape validée, vous tombez sur un gentil message de confirmation :

Confirmation Leboncoin

Une arnaque bien ficelée et intelligente

Alors oui, en lisant ces quelques lignes, vous vous dites forcément que personne ne remplirait les informations demandées par le site frauduleux. Eh bien, vous avez raison si vous raisonnez sur la majorité des internautes, mais il existe malgré tout une minorité moins habituée avec les pièges d’internet. Ils sont ainsi enclins à tomber dans ce genre d’arnaque.

Pourquoi les escrocs se donneraient tant de mal si cela ne fonctionnait pas ?

Quoiqu’il en soit, vous aurez remarqué l’évolution intelligente et progressive de cette escroquerie qui usurpe Leboncoin. Les informations sont récoltées au fur et à mesure par les escrocs allant des plus faciles à récupérer aux plus complexes :

  • Récupération des identifiants de connexion de Leboncoin
  • Vol des données bancaires
  • Recueil des informations liées à votre banque

Dites-vous bien que l’escroc récupère les informations au fur et à mesure des écrans suivis et n’attend pas que vous validiez le formulaire final.

Quels sont les risques de cette arnaque ?

Comme nous venons de la voir, l’arnaque décrite ici est simple mais particulièrement redoutable car elle vous expose à de nombreux risques en peu de temps :

  1. La perte de votre bien : certaines personnes pourraient se satisfaire du message de confirmation pour envoyer leur bien. Alors autant que pour une paire de chaussure à 10 euros, le préjudice resterait faible mais qu’en serait-il pour un ordinateur à 1000 euros ? Ne croyez pas non plus que vous arriverez à débusquer l’escroc en ayant sa réelle adresse postale. En réalité, ils utilisent une autre arnaque pour les récupérer : L’arnaque à la consignation. La personne qui reçoit votre colis est en réalité une autre victime 😣
  2. Le piratage de votre compte Leboncoin : En donnant vos identifiants à l’escroc, vous vous exposez à ce qu’il change vos informations bancaires pour recevoir des paiement à votre place. Le second risque est qu’il usurpe votre identité pour piéger d’autres internautes.
  3. Le vol de vos données bancaires : Lorsqu’elles sont en possession d’un escroc, ce dernier peut les utiliser lui-même ou les revendre sur le Darknet.
  4. Le piratage de votre compte bancaire : Habituellement récupérés grâce aux arnaques de phishing bancaires, vos identifiants peuvent permettre l’accès à votre compte. L’arnaqueur a alors le choix de se connecter à votre compte ou de revendre les données.

Comment éviter l’arnaque ?

Malgré les apparences, cette arnaque est très simple à éviter pourvue que l’on respecte une seule règle d’or :

Ne sortez jamais de la plateforme

Que vous utilisiez l’application Leboncoin ou son site internet, fuyez tout comportement qui cherche à vous en faire sortir. C’est aussi simple que ça !

Pour cela :

  • Ne donnez pas votre numéro de téléphone lors de votre dépôt d’annonce. Cela évitera qu’une conversation en dehors du site soit initiée…
  • Utilisez la messagerie interne du Bon coin autant que possible.
  • Ne suivez aucun lien sortant éventuellement présent dans un message. Souvent, les escrocs utilisent des liens raccourcis pour mieux vous piéger. Cela permet de cacher la destination réelle vers laquelle ils cherchent à vous faire atterrir.
  • Utilisez autant que possible le système de paiement sécurisé intégré au site (le vrai 😁). Alors oui, certains diront qu’il est perfectible mais en attendant, avouons qu’il n’est pas si mal.
  • Si vous récupérez des informations sur votre interlocuteur, faites des recherches sur internet avec les éléments en votre possession.

Que faire si vous êtes tombé dans l’arnaque ?

La réponse à cette question dépend grandement des informations que vous avez communiquées. Plus vous êtes rentré dans l’arnaque, plus vous aurez du travail 😋

Voici ce que je préconise :

  1. Signalez l’arnaque sans tarder : Les informations que vous donnerez publiquement permettront à d’autres internautes de ne pas tomber dans le même piège que vous.
  2. Si vous avez donné vos identifiants de Leboncoin :
  3. Si vous avez envoyé votre colis, suivez les conseils donnés dans le 4ème paragraphe de cet article. Il est possible de le récupérer sous certaines conditions.
  4. Si vous avez transmis vos informations bancaires à l’escroc, prenez contact avec votre banque sans délais ! Cette dernière vous proposera très probablement de réaliser une opposition et de commander une nouvelle carte. Dans l’urgence, il est possible de contacter le centre d’opposition des cartes bancaires.
  5. Si jamais vous avez mis le bras complet dans l’engrenage en donnant vos identifiants d’accès à votre compte bancaire, contactez rapidement votre banque.

Je pense qu’on a fait le tour de cette arnaque au paiement sécurisé sur Leboncoin. Vous avez une expérience à partager ? N’hésitez pas à le faire via les commentaires. Merci beaucoup !

Recherches associées

21 réponses

  1. Dumarquez dit :

    J aieu ce genre de probleme
    Une personne m a demande d envoyer des photos complementaires par mail pretexatant qu elle ne savait faire dew teansfertw de photos
    Ensuite j ai recu ca

    Bonjour, Les informations sur le site me donnent entièrement satisfaction, Je confirme l’achat de l’annonce car le prix me convient parfaitement .

    Je compte vous régler via PAYPAL ( c’est un mode de paiement en ligne , Sachez qu’avec Paypal pas besoin de communiquer vos coordonnées bancaires, vous recevez vos fonds directement sur votre compte Paypal, ensuite vous les transférez sur votre compte bancaire ) car je suis en déplacement professionnel, et je prendrai en charge tous les frais d’envois. Enfin si nous tombons d’accord je vous fais un rajout de 10€ .

    PS: La livraison sera en FRANCE .

    J’aimerai savoir le motif de la vente si possible ?

    Dans l attente de vous lire

    J ai repondu ca

    Je ne fonctionne pas comme ça le reglee.r se fair sur le site directement avec les frais de port inclus
    Cdt

    Et ensuite plus aucune nouvelles
    Merci de vos alertes arnaques cela noyw est bien utile

  2. GIUDICE dit :

    Il y a deux ans pilé dedans, 201.74 euros envolés. Les gendarmes ont pris ma plainte sans conviction, ma banque avertie m’a remplacé la carte (10 euros), heureusement le colis n’était pas encore expédié et que j’ai réagi à la minute pour opposition, même si l’escroc avait commencé à pomper mon compte. Exactement ce que vous décrivez, sms, coups de téléphone (plusieurs numéros) rassurants, et d’un coup blak out. Le téléphone ne répondait plus, l’adresse mail inconnue, tout identiques. Merci pour vos alertes. Cordialement

  3. Mori dit :

    Plus simple, ne jamais cliquer sur un lien inconnu, surtout avec des raccourcis comme indiqué dans cet excellent article, idem pour les messages boite mail, ne jamais ouvrir et directement en spam.
    Personnellement, je ne vais plus sur le bon coin, trop d’arnaque..

  4. leenknegt dit :

    bonsoir, je me suis faite avoir de 3000e mais sur marketplace, facebook;;meme procedé,,mais meme avec les captures d ecran de mon telephone, et l aide d une juriste du tribunal, la banque n a pas voulu rembourser,,soyez prudents les amis,,tout le monde peut se faire avoir,,pourtant je vous assure que je suis prudente,,mais la,,,

    • francoise bogacki dit :

      bonjour, moi non plus preuve a l’appui la banque n’a pas voulu me rembourser, un peu plus de 3000€, arnaque a la CB, comme c’est avec ma carte, (évidemment c’est logique ma carte mon compte piraté,) preuve que ce ne pouvait pas être moi, ils n’ont rien voulu savoir !!! je ne vous dis pas mon désespoir, c’est arrivé plusieurs fois, même après avoir changée la CB, je me demande si ce n’était pas lié au DAB, çà se passait souvent après des retraits dans un distributeur spécifique !

  5. L'HARIDON dit :

    J’ai failli être victime d’un escroc qui me sollicitait sur un site de la sécu, par 3 fois pour le renouvellement de ma carte de sécu.
    Quand il m’a demandé le N° de ma carte de crédit et le code de sécurité j’ai commencé à avoir des doutes et interrompu la conversation.
    Le coup était crédible et bien monté.
    Bravo pour votre acton, elle nous incite à être très prudent;

    • Jean Jacques KERLOCH (particulier) dit :

      Vous avez eu le nez crux et c’est une chance !

    • francoise bogacki dit :

      bonjour, je vire directement ce genre de mails, je les signales (je ne suis pas sûre que çà serve puisqu’ils reviennent), le style de phrase, l’orthographe, le parlé, il y a beaucoup de chose qui nous interpellent et puis les institutions ne vous envoient pas ce genre de mails, je me méfie de tout çà devient trop pénible

  6. weiss dit :

    Bonjour,
    j’ai fait pas mal de transaction sur Leboncoin, aucune arnaque subit (certain ont essayé) Il suffit de rester sur la messagerie et de ne pas communiquer son numéro de téléphone.

  7. Marie-Claire Georgette Descoups-Esclarmonde dit :

    Bonjour,
    Il y a une quinzaine de jours je suis passée à deux doigts d’une arnaque : une femme m’achétait mon radiateur pour sa mère et le ferait prendre étant géographiquement loin. Pour le paiement elle m’envoyait la somme sur mon compte par WEWTERN UNION , elle m’a envoyé ses photos de carte d’identité en me prévenant que c’était fait et de m’envoyer une feuille A4 à imprimer: « Attestation d’envoi Transfert sécurisé  » avec les logo de la Banque Postale et W-U..mais ce qui a enfin ouvert mes yeux « à lire attentivement » sur fond rouge « Pour la validation de votre transfert encours ,veuillez impérativement Contacter le directeur Mr Paul Henry : 01 84 80 02 14 pour les démarches à suivre c-à-d comment régler votre part de taxe et encaisser vos fonds soit 650 € » ( soit dit en passant : le prix de vente était 450 €). J’ai téléphoné à ce gars qui de son accent africain m’a dit que « c’était pour sécuriser et de L’APPELER AVANT D’ENTRER DANS LA POSTE ». Biensûr je me suis bien gardée de l’appeler et le directeur de la Poste confirmera l’arnaque : pas d’argent mis sur mon compte et jamais cette « complication » avec Wester-un ! Malgré une ou deux relances de leur part, j’ai été ferme (spam) pour couper. Que cette expérience vous soit utile !

  8. Michèle dit :

    Je traque les fautes d’orthographe dans les textes, c’est imparable !

  9. ADAM dit :

    IL FAUT BIEN LIRE LES MESSAGES QUI SONT BOURRÉS DE FAUTES ET DE MAUVAIS FRANÇAIS.
    ILS ÉCRIVENT COMME ILS PARLENT EN RÈGLE GÉNÉRALE.

    • Srege dit :

      Adam, tout comme écrire en MAJUSCULE (ce qui équivaut à CRIER sur Internet), les fautes de français ne sont qu’un indice, pas la preuve d’un piège. D’ailleurs, vous remarquerez que les arnaqueurs écrivent et s’expriment bien mieux en français que les pigeons qu’ils ciblent. 😉

  10. ROUSTAN dit :

    En effet !
    Après avoir eu très très chaud suite à vente voiture sur leboncoin + autres tentatives d’arnaques… dont mon No de tèl PRIVE donné par leboncon à certains quidam, alors que PAS LE DROIT, lesquels ne se sont pas gênés de m’appeler… là grosse colère… je continue à poster des annonces de ventes x y z, persuadée qu’elles aboutiront à NADA. Au bout d’un moment de « vide » j’appelle une association caritative et je DONNE, ça fera au moins plaisir à quelqu’un !! Je gagne 906 euros/mois et j’aimerais bien vendre un peu… mais je préfère crever la bouche ouverte que tomber malade d’angoisse. Car s’il y a le moindre souci, leboncon s’en fiche éperdument = CE N’EST PLUS SON PROBLEME !! Tout à fait d’accord avec le commentaire disant que la gendarmerie s’en fout complet : exactement ce que j’ai connu avec leboncoin (et Amazon) = « ils » se sont littéralement gouailler sans respect aucun de mes tracas et bobine ces T. du C. alors que j’avais besoin du dépôt de plainte pour me faire rembourser. Visiblement je les e…..r, alors que dans mon coin rural, ils glandent 24/24… partie et CIAO. Tant pis pour mon remboursement. Sauf que là j’ai un assez gros achat à faire en ligne (pour couronner le tout handicap jambe gauche suite erreur médicale) et je me flippe par avance. Bon, restons positifs ! sinon on craque et ça n’évoluera qu’en pire. Pour me conforter, je me dis TOUJOURS que le + attire les + ! Et que ceux qui font mumuse avec les – récolteront des – dont ils sont loin d’imaginer combien et de quoi ils seront fournis. Je les plains quelque part…

  11. francoise bogacki dit :

    les plaintes ils s’en fichent, c’est posé (quand ils font l’effort de le faire ) sur un tas de dossier et oublié, les banques ne remboursent plus même avec preuve (nous ne mettons pas en doute votre bonne foi, mais c’est fait avec votre CB…etc..) ben oui arnaque a la CB, ! et ainsi de suite, en fait on est seul, et quand on est handicapé, malade ou autre alors là !!débrouillez vous ! en fait on est toujours seuls au monde !! et après ils se demandent pourquoi certains font leurs lois eux mêmes…(même si je ne suis pas pour) mais a se demander qui a raison qui a tord !! courage !

  12. LEMARQUIS Michèle dit :

    Merci beaucoup pour nous faire partager toutes ces informations qui nous incitent à être vigilants.

  13. AEMAND dit :

    Bonjour
    Une astuce bête et facile qui marche à tout les coups

    ANNONCER

    Paiement en espèce ou en carte bancaire ( j’ai un terminal de paiement PAYPAL sur moi ) à la remise du colis en main propre

    Si on vous prétexte : je suis à tel ou tel endroit JE NE POURRAIS PAS RECEPTIONER

    Couper court à toute discussion

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

0 Partages
Tweetez
Partagez
Partagez