© Shutterstock
© Shutterstock

Le site de petites annonces Leboncoin, l'un des plus populaires en France avec 140 millions de visites mensuelles, reste un formidable terrain de jeu pour les arnaqueurs en tout genre.

Si les systèmes de défense évoluent, les hackers et escrocs ont maintes fois prouvé par le passé qu'ils étaient capables de s'adapter. Pour preuve, la mise en place du service de paiement sécurisé sur Leboncoin, qui remonte déjà à 2018, n'a jamais vraiment calmé les ardeurs des arnaqueurs. Ces derniers continuent de faire preuve de créativité, montant escroquerie sur escroquerie.

L'arnaque, toujours une histoire de confiance

Le site communautaire Signal-Arnaques, qui a directement mis les pieds dans le plat en jouant volontairement la victime, nous alerte sur l'une des nombreuses escroqueries autour de ce système de paiement sécurisé. Une utilisatrice, appelée Émilie, décide de mettre en vente une paire de chaussures médicales au tarif de 10 euros sur Leboncoin.

Un moment après la mise en ligne de l'annonce, elle reçoit un SMS (cela aurait aussi pu être un e-mail) provenant d'un potentiel acheteur. Celui-ci lui fait part de son intérêt pour la paire de chaussures et indique à la vendeuse qu'il préfère payer par PayPal ou par le système sécurisé du site, ce qui, a priori, constitue une démarche honnête.

© Signal-Arnaques
© Signal-Arnaques

Émilie continue de discuter avec l'acheteur potentiel, qui lui indique par SMS que le paiement est effectué. Pourtant, après vérification, elle ne retrouve rien sur son compte personnel Leboncoin, ce qu'elle lui fait savoir…

Là où la magie commence à opérer, c'est lorsque, très peu de temps après avoir fait remarquer à l'acheteur qu'elle n'avait pas reçu de nouvelles du site, elle reçoit un SMS de confirmation ! Dans le style, on ne criera pas au génie, mais le message est proprement écrit, et surtout, il provient d'un numéro à 5 chiffres couramment utilisé par de nombreux services (l'Assurance Maladie, Netflix, WordPress, etc.) : le 38601. L'escroc a ici utilisé un numéro court transactionnel partagé, envoyé par un service intermédiaire utilisé aussi bien par les services légitimes que par les arnaqueurs.

Une escroquerie qui va loin

Difficile donc d'imaginer (pour le consommateur peu regardant) que nous sommes dans le cadre d'une arnaque. Émilie peut avoir confiance, et elle ne se doute pas que quelqu'un puisse falsifier ce numéro. Elle clique donc sur le lien contenu dans le SMS qui l'invite à verser l'argent « reçu » sur son compte, et la partie commence. La vendeuse tombe sur un site imitant Leboncoin. Il confirme que le paiement a bien été effectué et qu'il faut désormais qu'elle transmette ses coordonnées bancaires pour recevoir les fonds.

En allant plus loin, on s'aperçoit que l'interface de connexion ressemble bien à celle du site d'annonces, et qu'elle donne ensuite l'accès à la page qui vient recueillir les coordonnées bancaires d'Émilie. Et le tour est joué….

© Signal-Arnaques

Car, en plus de récupérer vos coordonnées bancaires, l'escroc va pouvoir passer outre une potentielle double authentification bancaire en demandant le nom de la banque, l'identifiant bancaire et le code personnel… Et si souci il y a, il se fera passer pour le conseiller bancaire d'Émilie en lui prétextant un problème de sécurité. Là, il aura carrément accès au compte bancaire de la personne piégée, avec toutes les conséquences possibles que l'on peut imaginer, avant de lui envoyer un message de confirmation.

Hélas, certaines personnes tombent dans le piège, rassurées par les étapes initiales de confiance (une sortie d'ingénierie sociale), et finalement moins sujettes à se méfier des requêtes un peu trop nombreuses de la fausse plateforme.

Moralité donc : si vous achetez sur Leboncoin, ne quittez jamais le site et ne cliquez sur aucun lien sortant présent dans un quelconque message reçu.