Comment vendre votre TV sans y laisser votre chemise (et vos informations bancaires) ?

Sur des forums de discussion, des escrocs ciblent les vendeurs en se faisant passer pour des acheteurs. Nous allons vous expliquer en détail cette escroquerie et vous donner des conseils pour effectuer des transactions en ligne en toute sécurité.

Les forums de discussion les plus connus représentent depuis longtemps un refuge pour les escrocs. Vous savez, ces personnes qui proposent généralement des offres trop belles pour être vraies sur des articles très demandés ? Un téléviseur tout neuf à moitié prix ? Un scooter quasiment neuf avec 70 % de réduction ? Un smartphone, encore dans sa boîte et accompagné de sa facture, mais 40 % moins cher que dans le commerce ? Des escroqueries, voilà tout.

Dans ce cas-là, il n’y a rien de bien compliqué : le vendeur-escroc demande à l’acheteur-victime de payer pour le produit indiqué via un lien spécial. L’acheteur-victime, qui ne se méfie pas, clique sur le lien, « paie » l’article et perd son argent. Cette astuce courante est connue sous le nom d’escroquerie 1.0 ou d' »escroquerie à l’acheteur », et comme la plupart des acheteurs en ligne la connaissent, elle est pratiquement démodée.

L’ « escroquerie au vendeur » ou escroquerie 2.0, dans laquelle des escrocs se font passer pour des acheteurs dans le but de tromper les vendeurs, constitue un autre stratagème malhonnête. Décortiquons-la, puis voyons comment acheter et vendre en toute sécurité sur des forums de discussion.

Comment l’ « escroquerie au vendeur » fonctionne-t-elle ?

La principale différence entre ce stratagème et le stratagème classique est que l’escroc se fait passer pour un acheteur, et non pour un vendeur. Les escrocs contactent les vendeurs pour leur proposer d’acheter leur produit, mais à une condition : la transaction doit être effectuée sous forme de  » paiement sécurisé  » sur un site « sécurisé » faisant office de garant. L’acheteur-escroc prétend avoir déjà déposé les fonds dans le système, et le vendeur-victime n’a alors plus qu’à cliquer sur un lien (de phishing, évidemment), à saisir les informations de sa carte bancaire et à appuyer sur le bouton « Recevoir l’argent ». Et voilà ! Les informations de la carte bancaire sont volées, le compte est vidé, et l’article reste en rayon.

Apparue en Russie, cette escroquerie s’est rapidement propagée dans le monde entier. À ce jour, nous en avons trouvé des exemples en Autriche, au Canada, en France, en Norvège et en Suisse. Par conséquent, nous vous conseillons de vous armer d’une protection fiable avant que de tels escrocs ne ciblent votre pays.

Le choix de la victime

Le plus souvent, les escrocs ciblent les annonces mises en avant par les vendeurs au moyen d’une publicité payante. Cela indique que le vendeur est plus susceptible d’avoir un portefeuille bien garni et qu’il souhaite conclure une vente rapidement, ce qui le rend moins enclin à vérifier la légitimité d’un acheteur potentiel. Ce besoin d’urgence profite aux escrocs.

De plus, si les entreprises qui utilisent les forums de discussion ont également recours à des annonces payantes, celles-ci sont facilement identifiables grâce à leurs photos de haute qualité et à leurs descriptions détaillées. Ainsi, les escrocs ne ciblent que les particuliers qui, souvent, affichent des photos plus simples, ont moins d’avis, et proposent des descriptions de produits qui n’ont manifestement pas été rédigées par un professionnel du marketing.

Enfin, les escrocs recherchent des vendeurs disposés à communiquer leur numéro de téléphone et à transférer les échanges vers des messageries externes. Pour savoir si un vendeur est disposé à le faire, il convient de communiquer avec lui.

Échauffement et supercherie

Après avoir choisi une victime potentielle, les escrocs suivent un scénario relativement simple : ils saluent le vendeur, ils lui posent quelques questions (« Pourquoi vendez-vous cet article ? Dans quel état est-il ? »), puis ils parlent immédiatement de la transaction. Les escrocs se disent intéressés mais dans l’incapacité de venir chercher l’article, qui doit leur être livré après un « paiement sécurisé ». Ensuite, ils décrivent en détail le système de paiement à la victime :

  1. je paie votre article ;
  2. vous recevez un lien pour recevoir l’argent ;
  3. vous suivez ce lien et vous saisissez votre numéro de compte pour obtenir l’argent ;
  4. vous serez contacté(e) par le service de traitement des commandes, qui se chargera de l’emballage, de l’expédition et du suivi de l’article.

Si le vendeur refuse un tel mode de paiement ou insiste pour poursuivre les échanges via le canal officiel de la place de marché, les escrocs disparaissent, tout simplement. Il ne sert à rien de perdre du temps à essayer de convaincre le vendeur, qui est probablement l’un de nos lecteurs et qui se tient au courant des stratégies de fraude les plus courantes.

En revanche, si la victime tombe dans le piège, suit le lien de phishing et saisit ses informations de paiement, les escrocs vident immédiatement son compte bancaire.

Comment reconnaître le phishing

Dans le stratagème d’escroquerie 2.0, deux types de pages de phishing sont particulièrement fréquents. Le premier type reproduit presque à l’identique la page de référencement de la place de marché, à une petite différence près. Voyez par vous-même : cette page de phishing ressemble exactement à l’annonce d’origine mais, à la place du bouton Inserent kontaktieren (« Contacter le vendeur »), le bouton des escrocs indique Recevoir 150 CHF (CHF = francs suisses).

L'annonce d'origine pour un écran (à gauche) et la page de phishing avec le bouton d'escroquerie d'un faux site (à droite)

L’annonce d’origine pour un écran (à gauche) et la page de phishing avec le bouton d’escroquerie d’un faux site (à droite)

En cliquant sur le lien, le vendeur voit son annonce sur ce qu’il croit être le site légitime de la place de marché, même si à y regarder de plus près, l’adresse du site Internet diffère de l’original. Après avoir cliqué sur le bouton « Recevoir l’argent », il atterrit sur une autre page de phishing avec un formulaire pour saisir les informations de sa carte bancaire.

Dans le deuxième type de pages de phishing, les escrocs ne prennent pas la peine de reproduire l’annonce de la victime et le redirigent directement vers une imitation d’un service de paiement sécurisé comme Twint.

Pages de phishing pour le « paiement sécurisé »

Comme vous pouvez le voir sur ces captures d’écran, la victime potentielle doit non seulement saisir le numéro de sa carte bancaire, mais également le code CVC, le nom du titulaire et la date d’expiration, ainsi que son adresse email et son numéro de téléphone personnel. Dans le premier cas, il lui est même demandé de communiquer le solde de son compte. Avec toutes ces données, les escrocs peuvent voler sans effort jusqu’au dernier centime du compte.

Ce type d’escroqueries s’est industrialisé : il s’agit de groupes entiers de cybercriminels, qui ont développé des outils spécialisés pour tromper le plus efficacement possible les acheteurs et les vendeurs sur les forums de discussion. Vous pouvez en découvrir plus à propos des rouages de ce commerce illégal en consultant notre enquête.

Comment effectuer des transactions en toute sécurité sur les forums de discussion ?

Pour éviter d’être victime d’escrocs lorsque vous vendez ou achetez des produits sur des places de marché, suivez les règles suivantes :

  • Ne passez pas par des messageries tierces; utilisez le chat intégré à la plateforme. Les escrocs essaient souvent de transférer le plus rapidement possible la conversation vers WhatsApp ou Telegram afin de contourner les mesures de sécurité intégrées à la plupart des forums de discussion, qui bloquent le partage de liens. Ils sont loin de se douter que Kaspersky Premium empêche les utilisateurs de suivre des liens de phishing dans divers services et messageries.
  • Ne faites confiance qu’à des moyens de paiement officiels. Pour éviter d’être victime de phishing, examinez attentivement l’adresse du site Internet et la page elle-même avant d’y saisir les informations de votre carte bancaire. Si vous remarquez des fautes de frappe dans le nom de domaine ou des erreurs sur la page, méfiez-vous et vérifiez la date d’enregistrement du domaine. Si le site Internet n’a qu’une semaine, il s’agit probablement d’un faux.
  • Utilisez une carte bancaire virtuelle avec un plafond prédéfini. Si vous vendez un article, la carte ne doit pas être créditée ; les escrocs n’auront alors rien à se mettre sous la dent. Lors de l’achat d’un article, évitez autant que possible les paiements anticipés, et ne payez qu’après réception et contrôle de l’article.
  • Attention aux livraisons. De nombreux forums de discussion n’offrent pas d’options intégrées pour l’expédition de marchandises vers d’autres villes, et les escrocs peuvent donc essayer d’en profiter pour vous inviter à envoyer l’article via leur « service de confiance ».
  • Vendez sur place ou utilisez le paiement à la livraison. Les transactions les plus sûres ont lieu hors ligne. Si vous ne trouvez pas d’acheteurs près de chez vous, optez pour les services postaux ou pour des options similaires qui proposent le paiement à la livraison. Ainsi, l’acheteur ne recevra pas l’article tant qu’il ne l’aura pas payé en point de retrait.
Conseils