Les escrocs ciblent les plateformes de vente en ligne d’objets d’occasion

Luis Corrons 12 janv. 2023

Les cybercriminels utilisent des attaques de phishing sur les sites de vente d’articles de seconde main pour escroquer les acheteurs et les vendeurs en temps réel.

L’achat et la vente d’articles d’occasion sont devenus très populaires, car certaines plateformes permettent de le faire facilement depuis chez soi. L’une de ces plateformes est Vinted, un site bien connu en Europe et en Amérique du Nord qui permet d'acheter et de vendre des vêtements de seconde main et d’autres articles.

En général, il ne faut pas chercher plus loin que les sites de vente en ligne très fréquentés pour trouver des cybercriminels et des escrocs à l’œuvre. Je vais me plonger dans un cas de vol qui a eu lieu sur la plateforme Vinted, mais en réalité, ce type de crime aurait pu commencer sur d'autres plateformes de vente de ce genre.

La victime, que nous appellerons Hélène, est une amie proche qui est généralement assez douée sur Internet. Elle effectue toutes ses opérations bancaires en ligne depuis des années, fait régulièrement ses achats sur de nombreuses boutiques en ligne (de Shein à Aliexpress en passant par Amazon ou Zara) et connaît également les plateformes de vente d’articles d’occasion, sur lesquelles elle achète et vend régulièrement des articles.

Hélène n'arrivait pas à vendre certaines choses sur une autre plateforme et a donc décidé d’essayer Vinted. Elle avait des amis qui l’utilisaient depuis un certain temps, et avec Vinted, Hélène pouvait atteindre un nouveau public susceptible d’être intéressé par les objets qu’elle cherchait à vendre : un tableau et des chaussures pour femme.

Elle a créé son compte sur Vinted et a publié les deux articles sur le site. Elle a été agréablement surprise de recevoir, en quelques secondes, deux messages de deux personnes différentes intéressées par l’un des objets. Pour elle, c’était d’autant plus étonnant qu’elle avait mis en vente les mêmes articles sur une autre plateforme, où personne n’avait manifesté le moindre intérêt.

Le premier acheteur intéressé sur Vinted lui a envoyé une capture d’écran montrant comment il avait payé l’objet, et dans cette même capture d’écran, il demandait le numéro de téléphone du vendeur. Dans le même temps, le second acheteur lui demandait son numéro de téléphone afin de poursuivre la transaction une fois le paiement effectué.

Je tiens à préciser qu’avant cet incident, Hélène n’avait jamais été victime d'une escroquerie. D’ailleurs, elle a déjà réussi par le passé à identifier des messages de phishing (je suis son expert en sécurité) et elle sait qu’il faut être prudent. Cependant, cette fois-ci, l’excitation et la hâte de conclure les deux ventes en même temps ont eu raison de sa prudence. Elle a envoyé son numéro de téléphone aux acheteurs potentiels.

Quelques instants plus tard, elle reçoit deux SMS différents, tous deux provenant du même expéditeur (Vinted). Le texte était quasiment identique, la seule différence résidait dans les derniers caractères de l’URL :

Recevoir le paiement et finaliser la vente https://sms2waw.win/XxxXxx

En cliquant dessus, Hélène a été redirigée vers une passerelle de paiement surmontée du logo Vinted, indiquant qu’elle devait saisir les données de sa carte de crédit pour recevoir le paiement. C’est ce qu’elle a fait. Après avoir rempli le formulaire, un symbole de chargement est apparu et il semble que quelque chose n’a pas fonctionné. Pensant qu’il s’agissait d’un problème avec sa carte de crédit, Hélène a saisi les données d’une autre carte.

Quelques minutes plus tard, elle a reçu les messages suivants sur WhatsApp :

MicrosoftTeams-image (23)

Traduction: Bonjour ! Je suis le support technique du site Vinted/Wallapop, je vous aide à vérifier votre carte bancaire.
Cher vendeur, pour confirmer votre commande, le système a envoyé une notification d'achat test automatique à votre application bancaire pour confirmer que vous êtes le titulaire d'une carte bancaire réelle et que vous avez accès à votre application bancaire. L'achat test est une simulation et n'affectera en aucun cas le solde de votre carte.

Hélène a répondu qu’elle n’avait reçu aucune notification. Quelques minutes plus tard, elle a reçu d’autres messages WhatsApp provenant d’un autre numéro de téléphone :

MicrosoftTeams-image (24)

Traduction: Bonjour, je suis du service technique de Vinted. Ci-dessous, nous indiquons ce que vous devez faire pour compléter le processus de réception de votre argent. Une fois vérifié et reçu l'argent, vous recevrez des instructions sur la manière d'envoyer le produit. Tout ce que vous avez à faire est d'attendre des instructions. Vous pouvez vous déconnecter du site ; nous vous donnerons toutes les informations dans cette salle de chat.

Enfin, Hélène a reçu un SMS avec le nom de sa banque dans le champ « De » :

MicrosoftTeams-image (22)

Traduction: Veuillez confirmer une notification PUSH dans votre application bancaire pour le montant : 299 EUR. Notez qu'il ne s'agit pas d'un paiement, mais d'une rétention de 3 secondes pour des raisons de sécurité ; c'est une mesure de sécurité de toutes les banques. En 5 secondes, le montant de l'article sera transféré sur votre carte. Cela doit être confirmé ! Notre service travaille pour votre sécurité, toutes vos données personnelles sont protégées.

Pour vérifier votre carte bancaire dans le système, vous devez confirmer la notification push dans l’application de votre banque.

Hélène a ouvert l’application de sa banque, et il y avait effectivement une notification qu’elle devait approuver pour un montant total de 299 €. Elle a reçu des instructions supplémentaires dans WhatsApp.

C’est à ce moment-là qu’Hélène a décidé de me contacter. Elle m’a envoyé des captures d’écran des différents messages qu’elle avait reçus et m’a raconté la suite de l’histoire. Je lui ai dit de n’accepter aucun paiement et de bloquer immédiatement ses cartes de crédit (heureusement, il s’agissait d’une opération facile, en deux clics, dans l’application de sa banque). Elle a signalé les utilisateurs à Vinted ainsi que les numéros de téléphone à WhatsApp et a annulé ses deux cartes de crédit. Heureusement, les escrocs n’ont pu vider les comptes d’aucune des deux cartes.

L’argent est une grande source de motivation, et c’est ce qui anime les cybercriminels. Ces arnaqueurs sont des menteurs expérimentés qui savent jouer avec nos sentiments au bon moment. Cela peut nous amener à prendre des décisions irrationnelles que nous ne prendrions jamais dans des circonstances normales.

Remarque : J’ai traduit chacun des messages inclus dans cet article de l’espagnol vers l’anglais.


Pour en savoir plus :
L’escroquerie « Cancer Girl » a permis de voler plus d’un demi-million de dollars
Pourquoi tout le monde se fait-il pirater sur Facebook ?
Le jour où j’ai failli être victime d’une escroquerie à partir de l’e-mail de ma fac

--> -->