Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser la page de contact pour nous contacter ou nous faire part de vos suggestions. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

Leboncoin : attention, ce piège très élaboré tente de voler votre carte bancaire

Vous vendez des objets sur Leboncoin ? Gare à votre carte bancaire : des arnaqueurs ont mis en place une entourloupe en 3 temps presque trop complexe.

Qui dit période des fêtes dit cadeaux... et déception. Comme tous les ans, bien des objets reçus finiront sur Leboncoin, eBay ou Facebook Marketplace. Une aubaine pour les arnaqueurs, qui s'échauffent cette année avec un dispositif presque trop élaboré pour être efficace. C'est à en regretter le bon vieux prince et son héritage en millions de dollars.

Une arnaque en 3 temps

Tout commence par un SMS, d'un numéro a priori banal. Si vous avez publié une annonce sur Leboncoin, vous recevrez probablement quelques questions de personnes souhaitant avoir des informations sur votre produit. Mais déjà, les polissons utilisent une subtilité : à jour dans leur connaissance du marché, ils mettent en avant la fonction d'achat direct  avec paiement sécurisé sur Leboncoin, qui vous permet de gérer une transaction comme sur un site marchand, de manière sécurisée. Le SMS vous fait donc croire que vous avez reçu de l'argent pour votre annonce.

C'est là que cela se gâte. L'URL présente dans le SMS est évidemment fausse. Nous avons eu deux exemples : la première commençait par www-leboncoin (le site était donc www.www-leboncoin) et la seconde ajoutait un -d après le nom de domaine. Des détails qui pourraient échapper à un œil novice, mais qui mettent tout de suite la puce à l'oreille : c'est un scam. Curiosité journalistique aidant, nous avons cliqué. Et il faut reconnaître le travail derrière l'astuce : l'URL mène à un site web plutôt conforme au site Leboncoin. Mieux encore : il scrap l'annonce originale et la présente dans un format enrichi, avec les photos que vous avez prises. Malin, pour faire croire au vrai site, mais pas assez pour écrire un texte en français correct : pour peu qu'on s'y attarde, on voit que rien ne va, ni dans le ton, ni dans la syntaxe. C'est presque décevant à un tel niveau de technicité que les malotrus n'engagent pas un bon rédacteur pour compléter l'enrobage.

Poursuivons : le site demande de passer par l'application Leboncoin pour finaliser la transaction. Pourquoi pas. Le bouton reprend le logo du Play Store de Google... mais télécharge immédiatement un fichier .apk. Tout a bien été pensé pour un usage mobile. Un tutoriel accompagne le téléchargement et fait croire à la cible que les avertissements de sécurité d'Android sont un processus normal qui ne doit inquiéter personne. Reste que la protection finale du système d'exploitation ne se laisse pas avoir : il faut autoriser la fausse app à s'installer dans les réglages, après plusieurs mises en garde. D'où l'intérêt d'un smartphone à jour, toutes les versions d'Android n'ayant pas ces protections.

Une fois lancée, la fausse application Leboncoin reprend grossièrement le site et propose de récupérer l'argent pour terminer la transaction. Ce n'est qu'à la fin de cette dernière étape que l'objet du scam prend tout son sens : « la carte bleue enregistrée » ne fonctionne pas et l'app nous demande de la rentrer de nouveau. Dans un monde où il faut entrer notre numéro de carte bancaire pour recevoir de l'argent et non un RIB/IBAN, cela ne serait pas complètement idiot. Vous devinez la suite : le numéro de carte est envoyé au vaurien qui en fait ce qu'il souhaite.

Comment éviter les scam

Plusieurs astuces vous permettront de débusquer toute tentative de scam :

Contacté, Leboncoin n'a pas encore répondu à notre sollicitation. Nous mettrons à jour l'article le cas échéant.