Qui dit période des fêtes dit cadeaux… et déception. Comme tous les ans, bien des objets reçus finiront sur Leboncoin, eBay ou Facebook Marketplace. Une aubaine pour les arnaqueurs, qui s’échauffent cette année avec un dispositif presque trop élaboré pour être efficace. C’est à en regretter le bon vieux prince et son héritage en millions de dollars.
Une arnaque en 3 temps
Tout commence par un SMS, d’un numéro a priori banal. Si vous avez publié une annonce sur Leboncoin, vous recevrez probablement quelques questions de personnes souhaitant avoir des informations sur votre produit. Mais déjà, les polissons utilisent une subtilité : à jour dans leur connaissance du marché, ils mettent en avant la fonction d’achat direct avec paiement sécurisé sur Leboncoin, qui vous permet de gérer une transaction comme sur un site marchand, de manière sécurisée. Le SMS vous fait donc croire que vous avez reçu de l’argent pour votre annonce.
C’est là que cela se gâte. L’URL présente dans le SMS est évidemment fausse. Nous avons eu deux exemples : la première commençait par www-leboncoin (le site était donc www.www-leboncoin) et la seconde ajoutait un -d après le nom de domaine. Des détails qui pourraient échapper à un œil novice, mais qui mettent tout de suite la puce à l’oreille : c’est un scam. Curiosité journalistique aidant, nous avons cliqué. Et il faut reconnaître le travail derrière l’astuce : l’URL mène à un site web plutôt conforme au site Leboncoin. Mieux encore : il scrap l’annonce originale et la présente dans un format enrichi, avec les photos que vous avez prises. Malin, pour faire croire au vrai site, mais pas assez pour écrire un texte en français correct : pour peu qu’on s’y attarde, on voit que rien ne va, ni dans le ton, ni dans la syntaxe. C’est presque décevant à un tel niveau de technicité que les malotrus n’engagent pas un bon rédacteur pour compléter l’enrobage.
Poursuivons : le site demande de passer par l’application Leboncoin pour finaliser la transaction. Pourquoi pas. Le bouton reprend le logo du Play Store de Google… mais télécharge immédiatement un fichier .apk. Tout a bien été pensé pour un usage mobile. Un tutoriel accompagne le téléchargement et fait croire à la cible que les avertissements de sécurité d’Android sont un processus normal qui ne doit inquiéter personne. Reste que la protection finale du système d’exploitation ne se laisse pas avoir : il faut autoriser la fausse app à s’installer dans les réglages, après plusieurs mises en garde. D’où l’intérêt d’un smartphone à jour, toutes les versions d’Android n’ayant pas ces protections.
Une fois lancée, la fausse application Leboncoin reprend grossièrement le site et propose de récupérer l’argent pour terminer la transaction. Ce n’est qu’à la fin de cette dernière étape que l’objet du scam prend tout son sens : « la carte bleue enregistrée » ne fonctionne pas et l’app nous demande de la rentrer de nouveau. Dans un monde où il faut entrer notre numéro de carte bancaire pour recevoir de l’argent et non un RIB/IBAN, cela ne serait pas complètement idiot. Vous devinez la suite : le numéro de carte est envoyé au vaurien qui en fait ce qu’il souhaite.
Comment éviter les scam
Plusieurs astuces vous permettront de débusquer toute tentative de scam :
- Vérifiez toujours l’URL sur laquelle vous souhaitez cliquer. Si vous avez un doute, ne cliquez pas.
- Lisez les textes. Bien souvent, et c’est une chance, les canailles du web ne savent pas écrire correctement le français ou sa syntaxe. Typiquement, dans notre exemple, la somme indiquée est suivie d’un ,0 qui n’a pas de sens en France : on écrirait 139 € ou 139,00 €, mais pas 139,0 €
- Posez-vous des questions logiques : a-t-on besoin, généralement, d’entrer un numéro de carte bleue pour recevoir de l’argent ? Non, c’est plutôt un IBAN ou un RIB que l’on demande.
- Ne téléchargez pas d’applications en dehors du Play Store ou de l’App Store, à moins de savoir parfaitement ce que vous faites. Si l’on vous y invite, c’est généralement mauvais signe.
- Gardez vos smartphones à jour pour bénéficier des dernières protections contre ces tentatives. La dernière version d’Android que nous avons sur notre Pixel 4 nous indiquait déjà que le SMS était potentiellement un spam.
Contacté, Leboncoin n’a pas encore répondu à notre sollicitation. Nous mettrons à jour l’article le cas échéant.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
