Sur le site LeBonCoin, mieux vaut se méfier des hackers de Noël.

LeBonCoin : être méfiant face aux hackers de Noël

7218

LeBonCoin : pour protéger son numéro de carte bancaire

Depuis peu, les utilisateurs du fameux site de vente en ligne LeBonCoin ont une raison supplémentaire de se méfier. En effet, une nouvelle façon de leur voler leur numéro de carte bancaire y est pratiquée. Sophistiquée et élaborée, celle méthode se déroule en trois temps.

Une escroquerie mûrement réfléchie

Dopée par la période des cadeaux, et donc de leur revente, l’imagination des hackers a fortement été stimulée, en prévision des fêtes de fin d’année. Ainsi, certains ont élaboré une façon ingénieuse et détournée de se procurer certains numéros de cartes bancaires, utilisés sur LeBonCoin. Cette escroquerie, mûrement réfléchie, a lieu en trois étapes. D’abord, dans un premier temps, la victime potentielle reçoit un simple SMS. Celui-ci émane d’un numéro d’apparence banale. Jusque là, rien d’anormal. En effet, lorsque l’on met un objet en vente sur ce site, on reçoit logiquement des questions, envoyées par les internautes intéressés.

Un achat direct

Cependant, cette première étape de l’escroquerie a la particularité d’inclure la fonction d’achat fait en direct. Celle-ci est rendue possible par l’option du paiement sécurisé, prévue sur le site. De fait, cette facilité permet de traiter une transaction comme sur tout site marchand sécurisé. Ainsi, ce premier SMS frauduleux fait croire au vendeur qu’il a reçu un virement, suite à son annonce.

L’avantage d’être attentif

Sur le site LeBonCoin, la méfiance est recommandée.

Sur le site LeBonCoin, la méfiance est recommandée.

Evidemment, l’URL indiquée dans le SMS est fausse. Ce qui, à ce stade, est difficilement détectable. Car il faut avoir un oeil exercé pour repérer l’anomalie. De fait, un habitué vigilant pourra observer un détail qui doit mettre en alerte. C’est simple, soit le SMS utilise une adresse commençant par « www.www-leboncoin » (répétition anormale), soit avec un « -d » inapproprié à la fin, placé après le nom de domaine. Or, ces deux anomalies prouvent qu’il s’agit d’une tentative d’escroquerie. Donc d’un scam.

Un site bien imité

Ainsi, si l’on clique sur l’URL envoyée, elle redirige la victime vers un site en apparence très proche de celle du vrai LeBonCoin. D’ailleurs, pour endormir toute méfiance, ce faux site va jusqu’à reproduire l’annonce originale. Elle est même accompagnée des photos qui illustraient l’annonce. Cependant, et dans un sens heureusement, c’est à ce niveau que l’escroquerie se dévoile. Car, comme c’est souvent le cas, le texte inscrit comporte des fautes, de syntaxe ou d’orthographe.

La dernière étape

Pour que l’escroquerie soit finalisée, la troisième étape demande de passer par l’application LeBonCoin. Pour cela, un bouton reproduisant le logo du Play Store de Google apparaît. En réalité, cette ultime phase sert à télécharger en un instant un fichier APK, adapté à un usage mobile. Pour que la victime trouve cet épisode normal, un tutoriel accompagne le téléchargement. Son but est de faire croire à l’internaute ciblé que les avertissements de sécurité d’Android ne sont qu’un processus de routine. En réalité, c’est là que tout se joue. Car, comme dernière protection, le système d’exploitation doit alors autoriser l’application frauduleuse à s’installer dans ses réglages. Or, normalement, l’internaute ciblé est mis en garde. Et même plusieurs fois. A ce moment critique, les internautes qui installent régulièrement les mises à jour sur leur smartphone seront mieux protégés que les autres.

Le piège se referme

Finalement, la fausse application LeBonCoin propose de récupérer l’argent, afin d’achever la transaction. Elle prévient alors que « La carte bleue enregistrée » ne fonctionne pas. Evidemment. Donc, l’application demande à l’internaute de saisir à nouveau son numéro. A cet instant, la logique voudrait plutôt que l’on demande un IBAN ou un RIB. C’est là que le piège se referme. Si l’on ne se méfie pas, on fournit alors son numéro de carte bancaire à un hacker. Ensuite, il s’en servira comme il en aura envie. Donc, méfiance si l’on utilise LeBonCoin !



Journaliste spécialiste des Nouvelles Technologies de l'Information et de la Communication. Collaborateur permanent du Bulletin des Communes et chef de rubrique.