Leboncoin : arnaque au QR Code

Michaël 14

Bonjour, en cherchant un appareil photo pour mon fils hier sur leboncoin, je suis tombé sur une arnaque que je n’avais pas encore croisée. On m’a proposé de payer via un QR Code…

L’arnaque

Globalement, je discute avec le vendeur sur le matériel, je lui demande de me confirmer que tout fonctionne bien, et on en arrive irrémédiablement au paiement. Pas de souci, j’ai l’habitude de passer par le paiement du bon coin, ça marche plutôt bien (à quelques bémols près). Et là le vendeur me répond :

Drôle de proposition

Il me propose de passer par un QR Code pour payer. Bizarre, je n’ai jamais utilisé ce moyen-là, mais bon, peut-être que c’est une nouveauté du bon coin. Comme c’est inhabituel, je passe en mode “attention, je regarde partout”. On est quand même en train de parler de 400€… Donc je scan le QR Code, et voilà l’adresse vers laquelle cela mène :

La lecture du QR Code

Le QR Code me mène vers : https://leboncoin.xn--quelquechose. C’est une redirection qui me renvoie vers une page de paiement du bon coin. Enfin… en apparence (j’ai mis en rouge les éléments qui doivent nous mettre sur nos gardes) :

La fausse page de paiement

Bon, là je ne suis pas bête, j’ai compris que ça n’est pas la vraie page. Mais si on ne fait pas attention, on peut vite se retrouver à payer, et bye bye les 400€. Car oui, ce n’est pas une vraie page du bon coin, et l’argent partira sur un compte quelque part, et vous ne verrez jamais l’objet acheté.

Comment la débusquer ?

Il y a des éléments qui doivent nous mettre en alerte rapidement :

  • Déjà, le fait que cela passe par un QR Code et que ce soit différent de d’habitude. Si leboncoin avait lancé une nouvelle fonctionnalité, il en ferait de la pub. D’ailleurs pourquoi un QR Code ? Je me dis que ça vous oblige à aller voir la page sur votre smartphone, où on fait moins attention à l’URL du site et au certificat.
  • Un tout petit truc, mais sur la toute première image, celle où le monsieur (ou pas) me transmet le QR Code, en haut à droite on voit que c’est “Me” qui est connecté, et pas mon John235566.
  • Les tarifs indiqués ne sont pas bons. Le Colissimo coûte plus cher que ça, et la protection leboncoin est de 4% du prix. Donc pour un objet à 400€, il devrait y avoir 16€ de frais de protection.
  • A vérifier, mais je ne suis pas sûr que leboncoin transmette forcément vos coordonnées au vendeur. En tout cas, pas quand on passe par les points Mondial Relay.
  • Surtout : le site n’est pas le bon. Vous êtes amenés sur leboncoin-my.com et pas leboncoin.fr. La différence est subtile, mais elle est de taille. D’ailleurs, le certificat qui signe le https du bon coin est signé par Gandi, en France. Ce faux certificat est signé par Cloudflare aux US (voir capture ci-dessous).
Le faux site, avec son certificat signé par cloudflare
Le certificat du vrai site du bon coin pour *.leboncoin.fr, signé par Gandi

Voilà voilà. J’espère que ça permettra à certains de ne pas se faire arnaquer. @+ !

Michaël

Tags:

Michaël

Chrétien, de formation scientifique (chimie) mais recyclé (c'est bien vu à notre époque) dans l'informatique, je m'intéresse à un tas de choses. Vous retrouverez donc ce joyeux mélange sur ce site. Certains sujets m'ayant donné du fil à retordre, je me dis qu'en écrivant ces articles, ça peut aider certaines personnes à trouver plus rapidement.

Comments 14

    1. Je suis vraiment content que l’article ait été utile et qu’il vous ait sauvé une telle somme. Merci aussi d’avoir laissé ce commentaire qui me permet d’avoir un retour. Pas de souci pour le souci de prénom, je le prends comme un compliment 😀 Michaël

  1. Bonsoir,

    Je viens à l’instant de tomber sur la même arnaque et j’ai trouvé ça telle louche que j’ai refusé de payer les 700 euros. En tombant sur votre blog je vois que j’ai bien fait.
    C’est dingue ce qu’ils peuvent inventer.
    Merci Chrétien

    1. Bonjour, je suis désolé que vous vous soyez fait avoir. Effectivement avec un virement, il y a 0 garanties, 0 retour possible. Il faut bien réfléchir à plusieurs fois avant d’en faire un. C’est pour cela qu’il vaut mieux passer par le paiement sécurisé, même si oui, Leboncoin voit passer les flux financiers et transmet aux impôts.

  2. Salut, je rallonge la liste des arnaqués.. Je viens de me faire pirater deux fois le montant de la transaction (soit 660 euros au total), parce qu’en plus, ils sont malins, ils disent que la transaction n’a pu avoir lieu pour qu’on recommence.. J’espère que Le Bon Coin va assumer sa responsabilité d’héberger un bandit et me rembourser.. ou l’assurance de ma CB.
    Merci pour ce post, c’est lui qui m’ évité la troisième tentative!

    1. Bonsoir, désolé pour le délai à valider votre commentaire. Je l’avais vu, mais j’ai zappé sur autre chose… Pas gagné que Leboncoin vous rembourse. Si c’est un paiement par carte bancaire par contre, ça devrait passer avec la banque. Je viens de subir une nouvelle tentative différente, j’en ferai un article aussi dès que je le peux. Cela peut servir à d’autres !

    1. Bonjour, je suis vraiment désolé pour vous. Je crois malheureusement que la seule chose à faire est de porter plainte. Mais malheureusement il y a très peu de chances que vous puissiez récupérer votre argent. Vous pouvez aussi essayer de contacter le service client du bon coin.

    1. Non, effectivement. Ils ne fournissent que l’étiquette d’expédition à imprimer.
      Donc il faut toujours une imprimante.
      Mais c’est important de savoir ce qui existe ou non, histoire de se méfier quand on nous propose quelque chose qui n’est pas habituel.

  3. Vraiment merci d’avoir fais ce message de prévention, je doutais beaucoup de l’annonce et la j’en suis certain que c’est de l’arnaque.

    1. De rien. L’idée c’est effectivement de prévenir, que les gens ne tombent pas dans l’arnaque. Content que mon article ait été utile ;-D

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *