Vous vous sentez solides face aux arnaques en ligne ? Celle que nous avons découverte en ce mois de mai 2025 (une de plus) pourrait vous faire changer d’avis.
Tout commence sur Instagram, où, entre deux publications légitimes, vous tombez sur une publicité banale, qui vous propose de jouer à un petit jeu pour gagner un set d’accessoires pour bébé d’une marque connue — coûtant à peu près 200 €. Vous cliquez et vous tombez sur le site de Verbaudet, célèbre vendeur d’accessoires de puériculture qui semble avoir organisé le concours.
Après l’écran sur le jeu, vous passez au tirage au sort instantané, façon jeu à gratter : vous perdez une première fois, puis une seconde fois et… victoire ! Le lot est pour vous. La suite est un formulaire qui va vous demander des informations sur vous et le règlement des frais de port pour l’envoi de votre lot, d’une valeur de 1,95 €. Vous entrez votre carte bancaire, 3DSecure est lancé… et c’est trop tard. Le piège s’est refermé.
Rien de tout cela n’était vrai.
Un phishing en deux étapes
Pour Matthieu Dierick, expert en Cybersécurité chez F5, cette arnaque est extrêmement bien faite et repose sur des mécaniques bien plus avancées que la plupart des arnaques en ligne.
À Numerama, il confirme une première chose : les hackers ont piraté un nom de domaine légitime pour installer leur jeu concours vérolé, ce qui leur permet de passer les filtres d’Instagram. Le compte poubelle utilisé pour diffuser la publicité et cibler les jeunes parents passe alors pour un compte lambda d’un site qui souhaite faire de la pub. Le code a été injecté sur plusieurs noms de domaine qui ne sont pas des « red flags » pour Instagram, qui ne les déprécie donc pas.
Instagram berné, il faut ensuite tromper l’utilisateur cible. Et c’est là que la deuxième partie du piège se met en place : « Le but n’est pas de vous voler 1 €, nous confirme Matthieu. Ils collectent le numéro de carte, le nom, le prénom, l’adresse, le mail, le téléphone ». Pour faire des achats en ligne ? Non, d’après l’expert en cybersécurité, c’est encore plus vicieux que ça, car les protections contre la fraude ou 3D Secure ont eu un effet positif et il est difficile aujourd’hui d’exploiter un numéro de carte bancaire seul.
« Tout se passe dans l’heure qui suit le piège. Ils vous appellent en se faisant passer pour votre banque qui vous annonce qu’elle voit une fraude de 700 € à 1 000 € sur votre compte. Dans la panique, vous vous rappelez du paiement fait au faux Verbaudet et vous confirmez que vous vous êtes fait avoir. Le faux banquier vous dit alors de patienter et qu’il va initier un système anti-fraude et procéder au remboursement. »
Ce qu’il fait alors est le génie machiavélique de cette arnaque : avec votre numéro de carte bancaire en sa possession, il crée un paiement sur un site, du montant qu’il vous a indiqué. Vous recevez une notification 3D Secure bien réelle de votre application bancaire qui vous demande de confirmer la transaction. Au téléphone, le faux banquier vous presse en vous demandant d’autoriser le remboursement : vous ne regardez pas les détails de l’opération et vous validez son paiement !
En croyant débusquer la fraude avec votre banque, vous vous faites avoir à retardement. « Parce qu’une transaction de 12,50 € passe souvent sans 3-D Secure, mais 1 000 €, non. Le vrai jackpot vient quand vous, vous signez le 3-D Secure en croyant bloquer une fraude », conclut Matthieu Dierick.
Comment se protéger de cette arnaque ?
La cible des jeunes parents est très bien trouvée, dans la mesure où il s’agit de personnes parfois fatiguées physiquement ou émotionnellement et donc plus prompt à se faire berner — même s’ils sont par ailleurs très alertes sur les sujets d’arnaques en ligne. Il s’agit de redoubler de vigilance à tout moment, car les pirates savent précisément exploiter ces faiblesses.
Sur le site en lui-même, plusieurs éléments mettent la puce à l’oreille :
- L’URL du site « Verbaudet » n’est pas bonne (c’est en fait le site squatté qui apparaît) ;
- Le menu n’est pas cliquable, impossible de créer son compte ou d’accéder à d’autres sections du faux Verbaudet ;
- Un jeu-concours ne vous demandera jamais de participation aux frais de port ;
- Le faux 3D Secure de la transaction initiale est nommé 3DS Secure.
Cela dit, comme les ressorts de cette arnaque sont surtout basés sur la panique et le jeu de rôle joué par l’arnaqueur au téléphone, il est plutôt difficile de s’en protéger une fois les étapes initiales passées. L’arnaqueur qui se fait passer sur votre banque connaît en plus des tas d’informations sur vous et va vous les communiquer afin de vous rassurer sur son identité.
Dans le doute, demandez toujours à parler à votre conseiller, voire à rappeler vous-mêmes la banque sur un numéro qui est dans votre application : ainsi, vous saurez à qui vous vous adressez.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Marre des réseaux sociaux ? Rejoignez la communauté Numerama sur WhatsApp !
