Solutions informatiques pour tous 

Nous joindre
05 55 62 80 02

Suivez-nous
sur Facebook

Prise en main
à distance

L’arnaque LeBonCoin explose. Au point que nous venons d’être nous-mêmes victimes d’une tentative d’escroquerie en ligne par un faux acheteur via un cocktail de SMS, mail (phishing) et fausse homepage… Et le pire, c’est qu’on a failli tomber dans le panneau ! Au moins, on a gardé toutes les preuves et le déroulement de l’arnaque LBC au fil de la journée. On vous dévoile comment les pirates internet agissent (captures d’écran) et comment s’en protéger.

 

A force de vous alarmer régulièrement sur les arnaques en ligne dans le blog Wiclic, on en oublie presque qu’on est soi-même concerné… Et pourtant, le week-end dernier nous a fait retomber sur terre : on a bien failli se faire escroquer par un faux acheteur de ce qu’on appelle désormais l’arnaque LeBonCoin. Laissons notre collaborateur témoin vous raconter le déroulement de cette tentative d’escroquerie et vol de données bancaires…

– “Jusqu’à peu, j’étais un utilisateur habitué et plutôt heureux du bon coin, aussi bien pour la vente que l’achat. Je vends et achète des pièces mécaniques le plus souvent, des choses tellement ciblées et bon marché qu’il me semblait très improbable qu’elles puissent susciter l’intérêt des arnaqueurs internet. Et pourtant… Samedi dernier, je dépose une annonce pour une pièce mécanique très spécifique et peu chère. Peu après, je reçois un premier SMS :

 

arnaque leboncoin sms

 

Rien d’alarmant pour le moment, le faux acheteur le bon coin s’exprime normalement, pas de faute grossière, rien d’aberrant. Il prétend habiter en banlieue parisienne et propose de régler les frais d’envoi en Colissimo. Seul signe d’alarme éventuel : il me joint directement par SMS sur mon numéro de téléphone portable (j’ai laissé mon numéro apparent dans mes annonces) et non sur la messagerie du bon coin. Pas de quoi tomber dans la parano pour si peu…

 

arnaque le bon coin sms

 

Je lui réponds que je verrai ça lundi… mais le faux acheteur LeBonCoin me presse gentiment. Il me demande de vérifier le coût d’envoi sur le site Colissimo. Il se fait tard, mais j’accepte par courtoisie et intérêt (certes :), je cherche l’info et lui envoie par SMS en retour. N’étant pas encore coutumier du nouveau service de paiement en ligne LeBonCoin, je lui propose de me payer sur mon compte Paypal, avec lequel je fonctionne en général et qui m’apporte entière satisfaction. Il refuse, veut utiliser le paiement en ligne LeBoncoin, rien d’anormal, j’accepte et vais dîner…

 

arnaque leboncoin sms

 

Reprise de la discussion par SMS après le dîner, je ne suis sans doute pas assez concentré. En temps normal, qu’un inconnu me demande mon email par SMS m’aurait peut-être davantage interpellé. Mais je n’ai encore jamais utilisé le système de paiement LeBonCoin, préférant Paypal. Je me dis que c’est sans doute la procédure normale, je lui envoie donc mon email perso par SMS… Grosse erreur ! Heureusement, ce qui suit dans ma messagerie va tout de suite m’alerter, et pour cause…

 

arnaque leboncoin phishing

 

Enfin, je me réveille… Le mail que je viens d’ouvrir est un très beau spécimen de phishing ! Et justement, le phishing on en parle régulièrement sur le blog Wiclic. L’email de l’expéditeur – admin@supportpplaccount.com ??? – n’a aucun rapport avec leboncoin, il aurait du reprendre l’url du site : @leboncoin.fr.

Quant à lui, le lien “Cliquez ici pour confirmer le paiement” – lorsqu’on le survole avec le pointeur de la souris – dévoile une url en bas de page plus qu’alarmante : www.erikgroupconsulting.com… Ca vous dit quelque chose ??? En tout cas, rien à voir avec leboncoin.fr ici aussi.

Email et url de site manifestement frauduleux dans un mail maquillé avec le logo du site, l’arnaqueur leboncoin du jour est démasqué. Allons au moins voir où il tente de nous emmener, je clique sur le lien…

 

arnaque leboncoin fausse home page

 

… et j’atterris sur cette fausse home page Le Bon Coin, le côté obscure de la farce. L’illusion est trompeuse, si on ne prend pas la peine de vérifier l’url (l’adresse du site dans la barre de navigation), difficile de déceler l’arnaque tant la page reprend les graphismes bien connus du site d’annonce. Pour ma part, je ne suis pas assez joueur pour aller plus loin. Evidemment, si j’avais entré mes vrais email et mot de passe leboncoin, ceux-ci auraient sans aucun douté été rapidement récupérés pour accéder à mes données bancaires comme mon IBAN et/ou le numéro de carte bancaire saisis dans mon vrai compte leboncoin. Et à partir de ce moment, gros soucis en vue…

 

L’arnaque LeBonCoin s’appuie sur votre numéro de portable et votre email : le faux acheteur vous contacte par SMS, vous envoie un faux email qui vous renvoie vers une fausse homepage (phishing).

 

Auparavant, et après que le faux acheteur le bon coin m’ait assuré avoir payé dans son faux mail, j’étais allé vérifier sur le vrai site leboncoin si mon compte avait été crédité. Et n’y figurait évidemment aucune trace de ce versement, la seule qui fasse foi (tout comme pour Paypal). Ici, les confirmations de paiement par email n’ont donc aucune valeur, seul votre compte auquel vous accédez via vos url, login et mdp habituels, vous informe sur la réalité d’un paiement.

Imaginons maintenant que je me sois fié au seul mail envoyé, sans vérifier dans mon compte leboncoin, que se passait-il ? J’envoyais à mon tour le colis à l’adresse indiquée (fausse ou celle d’un tiers) ou à la Poste et le faux acheteur avait toutes les chances de le récupérer. De mon côté, j’aurais attendu que Le Bon Coin me confirme que le colis avait bien été réceptionné et débloque le paiement… en vain, puisqu’à aucun moment l’arnaque transitait par le site leboncoin.

Au pire, le faux acheteur récupérait donc le colis et toutes les données entrées dans mon compte le bon coin (adresse, email, mot de passe, IBAN, numéro de carte bancaire) sans rien payer !

Dés lors, on peut se poser la question : qu’aurait fait l’acheteur des pièces reçues ??? Sans doute rien dans le cas présent, mais si l’arnaque était arrivée à son terme, il possédait au moins mes données bancaires…

 

Les précautions à prendre face aux faux acheteurs ou faux vendeurs Leboncoin

 

De cette tentative d’arnaque Leboncoin qui aurait beaucoup plus mal tourné, j’ai tiré quelques leçons que je vous soumets :

  • il n’existe qu’un seul site d’annonces Le bon coin : www.leboncoin.fr…
  • je ne laisse plus mon numéro de téléphone public sur leboncoin, je le masque au moment de saisir l’annonce. L’acheteur éventuel devra passer par la messagerie leboncoin pour me contacter, ce qui limite les tentatives d’arnaque mais ne les évite pas pour autant…
  • en général, sur le bon coin l’acheteur contacte le vendeur via la messagerie interne ou par téléphone… S’il passe directement par SMS et qu’à aucun moment vous n’avez un échange verbal avec lui, méfiance…
  • sauf espèces de main à la main, le paiement doit impérativement passer par la plateforme leboncoin ou autre prestataire connu via vos accès habituels (banque, Paypal). A défaut, oubliez…
  • ne vous fiez pas au seul mail (surtout s’il est faux… ), vérifiez toujours sur votre propre admin LeBonCoin (ou Paypal, ou autre prestataire bancaire) que votre acheteur ait effectivement versé la somme convenue.
  • créez-vous une adresse ou alias email “spécial leboncoin” : pas de nom/prénom devant le @ mais quelque chose de strictement impersonnel.
  • il y a déjà beaucoup d’informations sur internet au sujet des arnaques Leboncoin (et Paypal), notamment sur les numéros de téléphone des arnaqueurs qui commencent entre autres par 06 44 (c’était le cas ici) et 06 50. N’hésitez pas à “googler” en cas de doute…
  • faites des copies d’écran et relevez tous les éléments qui prouvent l’arnaque, transmettez-les au site Le bon coin. Et si par malheur vous êtes victime de cette escroquerie, signalez-la sur le site mentionné plus bas dans cette page, prenez immédiatement contact avec votre banque et la gendarmerie la plus proche.”

 

Rappel de la (vraie) procédure de paiement Leboncoin

 

Pour info, voici comment Leboncoin vous informe du paiement réel d’un objet mis en vente sur le site.

Pour des raisons de sécurité, toutes les étapes du paiement sécurisé se font depuis l’interface leboncoin. Des notifications vous informent instantanément des événements liés à votre transaction.

Ainsi, après avoir reçu la confirmation d’envoi d’une offre, vous recevez ce message sur votre messagerie leboncoin :

 

 

Et lorsque l’acheteur a effectué le paiement, vous êtes notifié ainsi sur votre messagerie leboncoin :

 

 

Enfin, vous recevez un mail dans votre boite mail liée à l’adresse email utilisée pour votre compte leboncoin :

 

Ci-dessus, le “vrai” mail Le Bon Coin. Mais même celui-ci ne vous affranchit pas d’aller vérifier le paiement directement sur votre compte via votre admin. Sur internet, deux précautions (au moins) valent toujours mieux qu’une… Comme dans la vraie vie, finalement 😉

 

 

Arnaque LeBonCoin, à consulter aussi :