Overblog
Suivre ce blog
Editer l'article Administration Créer mon blog

Marichesse.com

Marichesse.com

Conseils, science, sante et bien-être


Phishing : l’arnaque PayPal qui se propage sur Le Bon Coin

Publié par MaRichesse.Com sur 16 Janvier 2014, 08:56am

Catégories : #NEWS

arnaques--1-.jpg

Un SMS, des e-mails, puis un hameçonnage habile. C’est la recette de l’arnaque PayPal qui se développe sur Le Bon Coin : de nombreux internautes rapportent s’être fait avoir. Les dessous d’une escroquerie bien montée.

C’est une arnaque qui n’est pas toute récente, et qui s’est considérablement améliorée. Elle s’est multipliée dernièrement, après les fêtes de fin d’année et l’affluence sur les sites de commerce. Comme toutes les escroqueries, elle reste cependant difficile à quantifier de façon précise.

Concrètement, l’arnaque consiste à appâter une cible avec un SMS, des courriels puis un mail trafiqué de PayPal, le service de paiement en ligne sécurisé. Elle se propage sur le site de commerce Le Bon Coin, où les internautes rapportent avoir été escroqués.

Tout commence par un texto

Rien de très extraordinaire a priori, sauf que l’arnaque est plutôt bien menée, ce qui est loin d’être toujours le cas. PayPal, qui a mis au jour cette escroquerie depuis fin 2011, affirme se mobiliser pour la stopper, mais n’a pas forcément bien appréhendé son évolution…

Tout commence par un texto. La victime a déposé une annonce sur Le Bon Coin pour y vendre un objet, comme c’est le cas pour plusieurs millions de personnes, selon les chiffres du site.

Un client potentiel la contacte :

« Bonjour tjrs dispo votre vetement si oui faite moi parvenir le prix ferme a repondre a cette adresse mail : …@gmail.com »

ou encore :

« Bonsoir. Je suis interesse par votre chaussures (sic) veuillez me contacter uniquement a mon adresse : …@gmail.com »

« Je ne marche qu’avec PayPal »

Quelques fautes d’orthographe, mais pas de quoi alerter le vendeur, qui échange alors par e-mail. Tout se déroule naturellement, à part peut-être l’insistance pour que le paiement passe par PayPal. Les clients disent se trouver loin du point de vente... Et a priori il n’y a pas de raison de se méfier de ce système de paiement :

« Je confirme l’achat de votre bien.

Pour la transaction, je vous informe que je veux vous régler via paypal qui est un service de paiement en ligne très sécurisé si vous êtes bien d’accord. Je vous fais confiance et je compte faire affaire avec vous. Je m’engage a couvrir les frais d’envoi via Colissimo, je vous paye avant tout envoi (fonds avec frais de port inclus ) mais je ne marche qu’avec Paypal par mesures de sécurité, car je me suis déjà fait avoir avec les paiements par chèque, Mandat Cash ainsi que le virement bancaire. Vous pouvez vérifier les frais sur www.tarif-colis.com je vous paye avant tout envoi, tenez moi informée. »


Capture d’écran du mail de confirmation envoyé par l’arnaqueuse

Une utilisatrice du Bon Coin qui insiste pour payer les frais de port, voilà qui semble un peu louche, mais pourquoi pas… Dans un e-mail suivant elle indique son adresse de livraison, à Montreuil (Seine-Saint-Denis). L’heure est donc venue de lui faire parvenir une demande de paiement en bonne et due forme. Celle-ci est envoyée via un compte PayPal, destinée au mail du client/arnaqueur.

Un phishing ingénieux

C’est là que l’escroquerie est ingénieuse : la victime envoie d’elle-même une demande de paiement où elle indique son nom à l’escroc. Ce dernier va utiliser cette information dans son mail de phishing (hameçonnage), aux couleurs de PayPal :

« Bonsoir : “Monsieur XXX”

Nous revenons vers vous afin de vous informer que la transaction numéro de transaction dont le montant s’élève à €80,00 EUR à été débité du compte PayPal de x@gmail.com ; Mais apparaîtra toujours “EN ATTENTE” sur votre compte PayPal.

Votre compte PayPal sera crédité lorsque vous nous aurez retourné le justificatif d’envoi du colis ou le numéro du suivi en répondant au présent mail de confirmation et prenant la peine de mentionner les informations ci-dessous :

1. Numéro de suivi :
2. Numéro de Référence de la Transaction :
3. Numéro de Reçu :
4. Compagnie Chargé de la Livraison :
5. Numéro De Téléphone Portable :
6. Votre Adresse :

La crédibilité du bordereau d’envoi sera vérifié auprès de la Compagnie Chargé de l’Envoi et par la suite votre compte PayPal sera crédité de la dite somme ; ce qui prendra tout au plus 72 Heures après réception du bordereau.

Veuillez nous excusez pour ce désagrément indépendant de notre volonté, mais nous nous voyons dans l’obligation de procéder ainsi vu les différentes plaintes auxquelles nous avons été confrontés suites aux opérations d’achats et vente effectué entre particulier (refus d’envoi de la marchandise après réception des fonds, faux numéros d’envois).

Nous communiquerons le numéro de suivi à l’acheteur dès que votre compte PayPal sera crédité.

Nous ne doutons pas de votre bonne foi, mais nous sommes contraint de vous demander de procéder ainsi pour éviter des fraudes au cours des transactions en lignes et pour sécuriser notre clientèle.

*PayPal est responsable pour la perte ou les dommages de l’article une fois que nous recevons le numéro de suivi.

Nous restons à votre entière disposition en cas d’un quelconque soucis.

Merci de votre visite sur Paypal®
L’équipe de PayPal »


Capture d’écran du faux e-mail de PayPal

 

Un filoutage presque parfait, de quoi tromper certaines vigilances. L’adresse d’envoi est ingénieuse, se présentant comme « service@paypal.fr », qui est le mail officiel du service client. En réalité c’est l’expéditeur qui s’est lui-même attribué ce nom. Vérifier la véritable adresse mail pourrait attiser des doutes : elle provient d’un compte… Gmail.

Une arnaque qui s’est perfectionnée

L’arnaque repose donc sur la crédulité du vendeur, qui espère que la transaction va fonctionner. Il communique son numéro de suivi et envoie le colis, puis ne voit bien sûr jamais son argent. Avec ces informations, l’escroc pourrait récupérer l’objet envoyé, et cela sans forcément résider à l’adresse indiquée, ce qui rendrait son identification difficile. L’adresse existe bien, mais le nom fourni n’est pas valide. Le colis échouerait donc au bureau de poste le plus proche, et l’escroc irait alors le chercher muni des références.

Plusieurs vendeurs se plaignent sur les forums de PayPal d’avoir été arnaqués de la sorte. La société répond parfois, via l’intermédiaire de ses modérateurs :

« Devant l’augmentation du nombre de signalement de cas d’escroquerie aux faux comptes PayPal sur le site de petites annonces Le Bon Coin, nous tenons à rappeler à tous nos utilisateurs, que nous ne sommes, en aucun cas, impliqué, dans cette escroquerie. »

C’est ce qu’elle indique sur un forum fin 2013. L’arnaque elle-même a été identifiée dès 2011. Mais à l’époque, elle n’est pas encore très au point, les escrocs demandent d’envoyer de l’argent à l’étranger et ne s’adressent pas au client par son nom.

Paypal a même créé spécialement une page web pour alerter quant à ce phishing. Petits problèmes, la mise en garde évoque une arnaque peu perfectionnée, un mail rempli de fautes d’orthographe, ou contenant des pièces jointes. Alors que l’escroquerie s’est bel et bien modernisée.

Patience et police

Contacté par Rue89, Bertrand Lathoud, responsable de la sécurité pour PayPal Europe, reconnaît que l’arnaque s’est perfectionnée. Mais pour lui, elle conserve tout de même des points communs :

« Dans le phishing, comme pour tout type d’escroquerie, les escrocs possèdent des traits comportementaux : ils vont pousser les gens à prendre une décision rapidement sans réfléchir. »

C’est effectivement le cas pour ce type d’arnaques, où les malfrats insistent par courriel pour obtenir des réponses très vite.

Enfin, PayPal incite ses clients à envoyer les emails qui éveillent leurs soupçons à une adresse dédiée, spoof@paypal.fr. Le but étant bien sûr de dépister l’expéditeur en identifiant son fournisseur d’hébergement. Des collaborations existent avec des services de police afin de poursuivre les escrocs.

Mais difficile de savoir si ces derniers sont bien interpellés. Les services en question n’ont pas répondu à nos demandes d’interview, officiellement par manque de temps pour les policiers d’Internet, l’Office central de lutte contre la criminalité liée aux technologies (OCLCTIC).

Les gendarmes spécialistes du Web ont quant à eux décliné en invoquant un manque d’informations concernant cette arnaque précise.

Impossible donc de savoir ce que deviennent les escrocs, ni les marchandises qu’ils recevraient. Encore moins de savoir ce qu’ils en font… Les revendre en ligne, pour boucler la boucle ? 

Source 

 

A lire aussi: 

Attention à l'arnaque : top 10 des choses qu'il ne faudrait jamais acheter d'occasion 

Internet: La «fraude 4-1-9» au sommet des arnaques en ligne depuis 13 ans 

Arnaque: une loi contre les appareils qui tombent trop vite en panne 

Top 10 des arnaques Facebook les plus courantes

Commenter cet article

Archives