Leboncoin : les escrocs utilisent le système de paiement sécurisé pour vous piéger

06 septembre 2022 à 14h15
34
carte bancaire © © shutterstock
© Shutterstock

Le site de petites annonces Leboncoin, l'un des plus populaires en France avec 140 millions de visites mensuelles, reste un formidable terrain de jeu pour les arnaqueurs en tout genre.

Si les systèmes de défense évoluent, les hackers et escrocs ont maintes fois prouvé par le passé qu'ils étaient capables de s'adapter. Pour preuve, la mise en place du service de paiement sécurisé sur Leboncoin, qui remonte déjà à 2018, n'a jamais vraiment calmé les ardeurs des arnaqueurs. Ces derniers continuent de faire preuve de créativité, montant escroquerie sur escroquerie.

L'arnaque, toujours une histoire de confiance

Le site communautaire Signal-Arnaques, qui a directement mis les pieds dans le plat en jouant volontairement la victime, nous alerte sur l'une des nombreuses escroqueries autour de ce système de paiement sécurisé. Une utilisatrice, appelée Émilie, décide de mettre en vente une paire de chaussures médicales au tarif de 10 euros sur Leboncoin.

Un moment après la mise en ligne de l'annonce, elle reçoit un SMS (cela aurait aussi pu être un e-mail) provenant d'un potentiel acheteur. Celui-ci lui fait part de son intérêt pour la paire de chaussures et indique à la vendeuse qu'il préfère payer par PayPal ou par le système sécurisé du site, ce qui, a priori, constitue une démarche honnête.

leboncoin arnaque © Signal-Arnaques
© Signal-Arnaques

Émilie continue de discuter avec l'acheteur potentiel, qui lui indique par SMS que le paiement est effectué. Pourtant, après vérification, elle ne retrouve rien sur son compte personnel Leboncoin, ce qu'elle lui fait savoir…

Là où la magie commence à opérer, c'est lorsque, très peu de temps après avoir fait remarquer à l'acheteur qu'elle n'avait pas reçu de nouvelles du site, elle reçoit un SMS de confirmation ! Dans le style, on ne criera pas au génie, mais le message est proprement écrit, et surtout, il provient d'un numéro à 5 chiffres couramment utilisé par de nombreux services (l'Assurance Maladie, Netflix, WordPress, etc.) : le 38601. L'escroc a ici utilisé un numéro court transactionnel partagé, envoyé par un service intermédiaire utilisé aussi bien par les services légitimes que par les arnaqueurs.

Une escroquerie qui va loin

Difficile donc d'imaginer (pour le consommateur peu regardant) que nous sommes dans le cadre d'une arnaque. Émilie peut avoir confiance, et elle ne se doute pas que quelqu'un puisse falsifier ce numéro. Elle clique donc sur le lien contenu dans le SMS qui l'invite à verser l'argent « reçu » sur son compte, et la partie commence. La vendeuse tombe sur un site imitant Leboncoin. Il confirme que le paiement a bien été effectué et qu'il faut désormais qu'elle transmette ses coordonnées bancaires pour recevoir les fonds.

En allant plus loin, on s'aperçoit que l'interface de connexion ressemble bien à celle du site d'annonces, et qu'elle donne ensuite l'accès à la page qui vient recueillir les coordonnées bancaires d'Émilie. Et le tour est joué….

leboncoin arnaque © Signal-Arnaques
© Signal-Arnaques

Car, en plus de récupérer vos coordonnées bancaires, l'escroc va pouvoir passer outre une potentielle double authentification bancaire en demandant le nom de la banque, l'identifiant bancaire et le code personnel… Et si souci il y a, il se fera passer pour le conseiller bancaire d'Émilie en lui prétextant un problème de sécurité. Là, il aura carrément accès au compte bancaire de la personne piégée, avec toutes les conséquences possibles que l'on peut imaginer, avant de lui envoyer un message de confirmation.

Hélas, certaines personnes tombent dans le piège, rassurées par les étapes initiales de confiance (une sortie d'ingénierie sociale), et finalement moins sujettes à se méfier des requêtes un peu trop nombreuses de la fausse plateforme.

Moralité donc : si vous achetez sur Leboncoin, ne quittez jamais le site et ne cliquez sur aucun lien sortant présent dans un quelconque message reçu.

Source : Signal-Arnaques

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
34
32
sylvebarbe78
Et pourtant la solution est simple, il suffit uniquement de se fier au site lui-même et de sa messagerie intégrée et faire abstraction des éventuels sms.
Bidouille
C’est pour cela que je privilégie toujours la remise de la main à la main et paiement en liquide. Cela évite de se faire avoir par ces petits truands
Yannick2k
il y a aussi l’arnaque avec Paypal, qui insiste sur le fait que c’est sécurisé, mais que les arnaqueurs se font passer pour le service client de PayPal pour valider les cordonnées bancaires !<br /> je me suis bien amusé avec eux pdt 20min à les faire miroiter, jusqu’au moment où ils sont rendu compte qu’ils arriverait à rien <br /> Mais je connaissait pas celui du service du BonCoin… Est-ce que Emilie avait autorisé l’affichage du numéro de tel sur son annonce ?
Azael
Et par commencer par ne pas autoriser de donner son tel aux acheteurs.
Baxter_X
Exactement ce que je me suis dis aussi. Réduire au maximum son empreinte numérique permet ainsi de réduire la surface d’attaque d’un potentiel fraudeur.
octokitty
Les raccourcisseurs d’URL génériques tels que bitly sont des fléaux et les sites marchands importants ne devraient pas les utiliser, surtout pour valider un paiement. La vigilance (sur mobile notamment) peut vite échapper.
FortyTwo
@Bidouille<br /> Même avec une remise en main propre nous ne sommes jamais à l’abri, toujours se rendre au rdv accompagné d’une ou plusieurs personnes, ou dans un lieu très fréquenté.
thunderboy
Idem pour moi, jamais d’envoi, jamais de paiement en ligne.<br /> Liquide pour les petits trucs (avec vérification de chaque billet), et chèque de banque quand ça dépasse les 1000€ (voiture).<br /> Et le chèque de banque est naturellement vérifié auprès de la banque émettrice, en amont de l’échange.<br /> Je fixe mes conditions, et seuls les arnaqueurs les refusent !
twist_oliver
on vit dans un monde dingue où il faut faire attention à tout
Palou
thunderboy:<br /> Et le chèque de banque est naturellement vérifié auprès de la banque émettrice, en amont de l’échange.<br /> Mais pas en appelant le numéro indiqué, il faut chercher le numéro de tél. de cette banque sur la page pagesjaunes
zetwal
Tant qu’on ne s’est pas fait arnaquer on pense toujours que ça arrive aux gens naïfs ou imprudents. C’est faux. Si ça se trouve vous vous êtes déjà faits arnaquer sans le savoir… ça peux arriver à tous, d’autant qu’il y a des artistes de l’arnaque, de vrais genis.
gamez
Je fixe mes conditions, et seuls les arnaqueurs les refusent !<br /> lol non pas du tout.<br /> si quelqu’un n’habite pas près de chez toi et qu’il veut acheter ce que tu vends c’est juste qu’il n’a pas d’autre choix que de payer en ligne et de se faire livrer.<br /> si tu utilises le site correctement il n’y a pas de raison de te faire arnaquer (voir le 1er commentaire).<br /> du coup les gens cèdent à la psychose et ferment la porte même aux acheteurs légitimes.
Blackalf
FortyTwo:<br /> Même avec une remise en main propre nous ne sommes jamais à l’abri, toujours se rendre au rdv accompagné d’une ou plusieurs personnes, ou dans un lieu très fréquenté.<br /> Ca me rappelle un copain qui voulait vendre sa moto, l’acheteur proposait de venir la chercher avec une camionnette et payer sur place, en disant qu’il aurait des potes avec lui pour la charger.<br /> Je lui ai conseillé de répondre ceci : « ok, on va prendre rendez-vous au local de mon club moto, il y a toujours plusieurs membres présents »…il n’a plus jamais eu de réponse.
LeChien
C’est une méthode un peu ancienne légèrement modernisée en gros.<br /> Pour le coup, LBC n’y peut rien…<br /> Perso, si un acheteur veut passer par PayPal, pas de problème : je lui dit de verser le montant de la transaction au contact PayPal correspondant à mon numéro de téléphone (qu’il connait de toute façon car je l’affiche dans l’annonce) et j’explique que ce sera ok lorsque je recevrai la confirmation de PayPal par mail (adresse que je n’utilise pas sur LBC, évidemment) … Et là, la magie opère.
pecore
Je passe uniquement par le site, messagerie et payement, je fais livrer en point relais uniquement et je filme la réception et l’ouverture des colis que je reçois.
Korgen
Ca ne change rien pour moi, je n’utilise jamais de lien externe.
brice_wernet
Ayant connaissance de certaines méthodes pour faire baisser le prix d’un appartenant/d’une maison/d’une voiture qui fonctionne sans aucun lien avec le numérique… Je dirais que les arnaques, ce n’est pas nouveau.<br /> Mais je conçois sue ça peut être très facile de se faire avoir si on n’est pas attentif
keyplus
c est comme dans la nature la mouche n a rien a craindre du lion mais tout de l araignée et la gazelle tout du lion et rien de l araignée bref il y a des escrocs pour tous le monde
Guilde69
La main à la main c’est exactement pareil, suffit que le mec arrive avec un couteau, tu fais quoi ?<br /> Oui ça n’arrive pas souvent, tout comme les arnaques en ligne.
Tomtell
Il n’y a pas que le bon coin. Anibis (en Suisse) est également utilisé par les arnaqueurs.<br /> Ayant mis une annonce, une personne intéressée m’envoie un mail me proposant d’acheter mon objet et de m’envoyer un transporteur (DPD) qui me remettra une enveloppe avec l’argent et prendra l’objet. Le prix du transport étant à charge de l’acheteur. Pour moi, tout paraît plausible.<br /> Je reçois un mail de DPD disant qu’il avait reçu l’argent et qu’il fallait que j’ouvre un compte pour avoir mes coordonnées pour la livraison. C’ est encore plausible. Je commence à remplir, puis vient la demande de mon mot de passe Ani is, puis des coordonnées de ma carte bancaire. STOP.<br /> DPD contacté m’a confirmé qu’il s’agissait d’une arnaque. L’arnaqueur m’a encore rappelé au téléphone et a raccroché quand je lui ai dit savoir qu’il s’agit d’une arnaque.
xryl
Toute escroquerie utilise forcément un système légitime de manière illégale. Ici le numéro de SMS est ce qui a mis en confiance l’arnaquée. Le 38601 est un numéro court, mais utilisable par tout un chacun via textbelt.com. Donc ce n’est pas une preuve de la source.<br /> Pour moi, le bon coin devrait être tenu pour responsable de la majorité des arnaques car ils ne font rien pour les empêcher. Typiquement, le numéro de téléphone des escrocs (ou leur nom, ou leur email) est souvent sur signal arnaque depuis des années. Pourquoi LBC ne maintient pas une liste de ces personnes et ne flaggue pas leurs auteurs immédiatement (en contactant la police et/ou les services de répression des fraudes) ? Être complice d’une fraude est également considéré comme un délit. Typiquement, lors des nombreuses arnaques qui utilisent la messagerie « sécurisée » du BC, LBC refuse de transmettre les coordonnées de l’escroc (son adresse mail perso et son adresse IP de connexion) aux services de gendarmerie, qui ne peuvent donc quasiment jamais inquiéter ces individus. Il ne filtre pas non plus les messages de ces personnes pourtant signalées comme escrocs à de multiples reprises (voir les signalements sur signal arnaque).<br /> Bref, je suis presque sûr que pour celui qui en aurait le temps, attaquer LBC en justice pour complicité de fraude serait rentable et ferait probablement bouger les choses car sinon, LBC s’en ballec. C’est dommage pour leur réputation, car comme chat échaudé craint l’eau froide, les utilisateurs arnaqués n’utiliseront plus le site, ni leurs amis, etc…<br /> Typiquement, ici, il y a usurpation d’identité, faux et usage de faux. Le bon coin devrait faire fermer le faux site à son image, car il nuit à sa réputation également. Par contre ici, il n’y a rien que LBC puisse faire de plus, à part fournir un outil sur le site pour vérifier si un contact existe et si une transaction est, effectivement, en cours. Et surtout, éduquer ces utilisateurs pour utiliser systématiquement cet outil.
Bambou94
J’ouvre la porte avec mon chien derrière moi, cela a toujours suffit jusqu’à maintenant
Maspriborintorg
En Suisse, on a le site Anibis qui fourmille aussi d’escrocs. Mais il est facile de s’en prémunir: Ne jamais utiliser une carte de crédit mais utiliser un compte Paypal car avec celui-ci, vous recevez une proposition de payement que vous pouvez accepter et de plus, l’acheteur est protégé par le service juridique de Paypal. Sur Internet, j’utilise la plateforme e-bay car il y a un feedback des vendeurs ce qui permets d’éviter ceux qui ne sont pas fiables. J’ai eu quelques fois des litiges (appareil défectueux-calculatrice HP avec une rangée de touches inopérantes, convertisseur vidéo Pinnacle cramé, panneau photovoltaïque 150 W perforé par le transporteur) et avec Paypal tout s’est réglé.
BernardB
Voici une autre solution.<br /> Aller dans un Tabac, acheter pour le montant de l’achat pour un compte de carte PCS.<br /> Un N° est donner par le Tabac, et le retransmettre par SMS au vendeur.<br /> &amp; de suite créditer.<br /> Très bonne transaction, l’argent va sur le compte de la carte PCS, intouchable !
Gibbons
Tout le monde y va de son conseil élaboré qui permettrait de ne pas de faire arnaquer. Mais soyons sérieux, même avec toutes vos méthodes compliquées s’il vous semble légitime de donner à qui que ce soit votre identifiant bancaire ET/OU le code associé (comme c’est le cas ici), ben désolé toutes vos précautions sont inutiles.
romrom77
y aura toujours un filou pour filouter le monde est ainsi fait malheuresement
ares-team
Ce serait bien d’indiquer (au moins) de ne jamais indiquer votre identifiant et mot de passe sur un service qui n’appartient pas à ce même compte de connexion.<br /> Pour ici, ne pas entrer votre identifiant et mot de passe de la banque sur le service leboncoin.
Popoulo
Que de galères ces ventes de particuliers à particuliers.<br /> Problème résolu depuis longtemps. Je donne à quelqu’un de la famille. Si personne n’en veut, à un pote ou connaissance. Aucune prise de tête.<br /> Quant à ces sites mentionnés en exemple, LBC chez vous, Anibis chez nous, je trouve impressionnant le nombre de contrefaçons (pour les instruments de musique par exemple) qu’on y trouve et je plains d’avance le pigeon qui se fera plumer.<br /> Ces sites comme dit précédemment devrait avoir un minimum de responsabilité. Trop facile sinon.
Essylt
Dommage que Paypal ne soit pas proposé par défaut sur Leboncoin ; ça éviterait d’avoir à demander, en se rendant suspect d’arnaque. De plus Paypal assure les retours au cas où.
Essylt
Normalement le paiement sécurisé permet d’être assuré si contrefaçon ou autre souci ; par contre le retour est à ta charge, et c’est looong…
micquer2
je comprends rien !
micquer2
??? «  » ne pas entrer votre identifiant et mot de passe de la banque s""<br /> qd tu paies sur le site LBCoin via ta carte bancaire VISA ou autre tu fournis toutes les infos de ta carte ( code 16 chiffres + date exp +code 3chiffres )<br /> par contre je REFUSE lla MEMORISATION de mes infos par le site !!!
ares-team
Comme pour tous les sites de vente en ligne.<br /> Mais OBLIGATOIREMENT, ils ne demandent pas ton « identifiant » et « mot de pass » de connexion de TA BANQUE.<br /> Et quand on achete en ligne on utilise une carte réservé pour (comme les NeoBanques) dans laquelle on dépose que ce qu’il faut pour la commande, le reste du temps, il n’y a rien a voler sur cette CB.
micquer2
expliques moi le principe de ces neo banques svp .
Voir tous les messages sur le forum

Derniers actualités

Immersion, traduction... Google continue de révolutionner la recherche
Fire TV : Amazon dégaine une nouvelle box et un téléviseur QLED
Amazon met à jour ses enceintes Echo avec de tout nouveaux modèles
Réveillez-vous avec Halo Rise, le premier réveil connecté d'Amazon
Enfin ! Vous allez pouvoir réagir aux messages d'un iPhone depuis Android
Android : les développeurs abandonnent de plus en plus leurs applications, et c'est un vrai problème
Citroën entame son renouveau électrique avec... un vieux logo
VKontakte, le plus grand des réseaux sociaux russes, supprimé de l'App Store
Bientôt un écran de verrouillage type iOS 16 sur les Samsung ?
Véhicules électriques : BMW est très, très contente
Haut de page