Les cybercriminels utilisent des attaques de phishing sur les sites de vente d’articles de seconde main pour escroquer les acheteurs et les vendeurs en temps réel.
L’achat et la vente d’articles d’occasion sont devenus très populaires, car certaines plateformes permettent de le faire facilement depuis chez soi. L’une de ces plateformes est Vinted, un site bien connu en Europe et en Amérique du Nord qui permet d'acheter et de vendre des vêtements de seconde main et d’autres articles.
En général, il ne faut pas chercher plus loin que les sites de vente en ligne très fréquentés pour trouver des cybercriminels et des escrocs à l’œuvre. Je vais me plonger dans un cas de vol qui a eu lieu sur la plateforme Vinted, mais en réalité, ce type de crime aurait pu commencer sur d'autres plateformes de vente de ce genre.
La victime, que nous appellerons Hélène, est une amie proche qui est généralement assez douée sur Internet. Elle effectue toutes ses opérations bancaires en ligne depuis des années, fait régulièrement ses achats sur de nombreuses boutiques en ligne (de Shein à Aliexpress en passant par Amazon ou Zara) et connaît également les plateformes de vente d’articles d’occasion, sur lesquelles elle achète et vend régulièrement des articles.
Hélène n'arrivait pas à vendre certaines choses sur une autre plateforme et a donc décidé d’essayer Vinted. Elle avait des amis qui l’utilisaient depuis un certain temps, et avec Vinted, Hélène pouvait atteindre un nouveau public susceptible d’être intéressé par les objets qu’elle cherchait à vendre : un tableau et des chaussures pour femme.
Elle a créé son compte sur Vinted et a publié les deux articles sur le site. Elle a été agréablement surprise de recevoir, en quelques secondes, deux messages de deux personnes différentes intéressées par l’un des objets. Pour elle, c’était d’autant plus étonnant qu’elle avait mis en vente les mêmes articles sur une autre plateforme, où personne n’avait manifesté le moindre intérêt.
Le premier acheteur intéressé sur Vinted lui a envoyé une capture d’écran montrant comment il avait payé l’objet, et dans cette même capture d’écran, il demandait le numéro de téléphone du vendeur. Dans le même temps, le second acheteur lui demandait son numéro de téléphone afin de poursuivre la transaction une fois le paiement effectué.
Je tiens à préciser qu’avant cet incident, Hélène n’avait jamais été victime d'une escroquerie. D’ailleurs, elle a déjà réussi par le passé à identifier des messages de phishing (je suis son expert en sécurité) et elle sait qu’il faut être prudent. Cependant, cette fois-ci, l’excitation et la hâte de conclure les deux ventes en même temps ont eu raison de sa prudence. Elle a envoyé son numéro de téléphone aux acheteurs potentiels.
Quelques instants plus tard, elle reçoit deux SMS différents, tous deux provenant du même expéditeur (Vinted). Le texte était quasiment identique, la seule différence résidait dans les derniers caractères de l’URL :
Recevoir le paiement et finaliser la vente https://sms2waw.win/XxxXxx
En cliquant dessus, Hélène a été redirigée vers une passerelle de paiement surmontée du logo Vinted, indiquant qu’elle devait saisir les données de sa carte de crédit pour recevoir le paiement. C’est ce qu’elle a fait. Après avoir rempli le formulaire, un symbole de chargement est apparu et il semble que quelque chose n’a pas fonctionné. Pensant qu’il s’agissait d’un problème avec sa carte de crédit, Hélène a saisi les données d’une autre carte.
Quelques minutes plus tard, elle a reçu les messages suivants sur WhatsApp :

Hélène a répondu qu’elle n’avait reçu aucune notification. Quelques minutes plus tard, elle a reçu d’autres messages WhatsApp provenant d’un autre numéro de téléphone :

Enfin, Hélène a reçu un SMS avec le nom de sa banque dans le champ « De » :
Pour vérifier votre carte bancaire dans le système, vous devez confirmer la notification push dans l’application de votre banque.
Hélène a ouvert l’application de sa banque, et il y avait effectivement une notification qu’elle devait approuver pour un montant total de 299 €. Elle a reçu des instructions supplémentaires dans WhatsApp :

C’est à ce moment-là qu’Hélène a décidé de me contacter. Elle m’a envoyé des captures d’écran des différents messages qu’elle avait reçus et m’a raconté la suite de l’histoire. Je lui ai dit de n’accepter aucun paiement et de bloquer immédiatement ses cartes de crédit (heureusement, il s’agissait d’une opération facile, en deux clics, dans l’application de sa banque). Elle a signalé les utilisateurs à Vinted ainsi que les numéros de téléphone à WhatsApp et a annulé ses deux cartes de crédit. Heureusement, les escrocs n’ont pu vider les comptes d’aucune des deux cartes.
L’argent est une grande source de motivation, et c’est ce qui anime les cybercriminels. Ces arnaqueurs sont des menteurs expérimentés qui savent jouer avec nos sentiments au bon moment. Cela peut nous amener à prendre des décisions irrationnelles que nous ne prendrions jamais dans des circonstances normales.
Remarque : J’ai traduit chacun des messages inclus dans cet article de l’espagnol vers l’anglais.
Pour en savoir plus :
L’escroquerie « Cancer Girl » a permis de voler plus d’un demi-million de dollars
Pourquoi tout le monde se fait-il pirater sur Facebook ?
Le jour où j’ai failli être victime d’une escroquerie à partir de l’e-mail de ma fac