Leboncoin : arnaque au QR Code

Michaël 0

Bonjour, en cherchant un appareil photo pour mon fils hier sur leboncoin, je suis tombé sur une arnaque que je n’avais pas encore croisée. On m’a proposé de payer via un QR Code…

L’arnaque

Globalement, je discute avec le vendeur sur le matériel, je lui demande de me confirmer que tout fonctionne bien, et on en arrive irrémédiablement au paiement. Pas de souci, j’ai l’habitude de passer par le paiement du bon coin, ça marche plutôt bien (à quelques bémols près). Et là le vendeur me répond :

Drôle de proposition

Il me propose de passer par un QR Code pour payer. Bizarre, je n’ai jamais utilisé ce moyen-là, mais bon, peut-être que c’est une nouveauté du bon coin. Comme c’est inhabituel, je passe en mode “attention, je regarde partout”. On est quand même en train de parler de 400€… Donc je scan le QR Code, et voilà l’adresse vers laquelle cela mène :

La lecture du QR Code

Le QR Code me mène vers : https://leboncoin.xn--quelquechose. C’est une redirection qui me renvoie vers une page de paiement du bon coin. Enfin… en apparence (j’ai mis en rouge les éléments qui doivent nous mettre sur nos gardes) :

La fausse page de paiement

Bon, là je ne suis pas bête, j’ai compris que ça n’est pas la vraie page. Mais si on ne fait pas attention, on peut vite se retrouver à payer, et bye bye les 400€. Car oui, ce n’est pas une vraie page du bon coin, et l’argent partira sur un compte quelque part, et vous ne verrez jamais l’objet acheté.

Comment la débusquer ?

Il y a des éléments qui doivent nous mettre en alerte rapidement :

  • Déjà, le fait que cela passe par un QR Code et que ce soit différent de d’habitude. Si leboncoin avait lancé une nouvelle fonctionnalité, il en ferait de la pub. D’ailleurs pourquoi un QR Code ? Je me dis que ça vous oblige à aller voir la page sur votre smartphone, où on fait moins attention à l’URL du site et au certificat.
  • Un tout petit truc, mais sur la toute première image, celle où le monsieur (ou pas) me transmet le QR Code, en haut à droite on voit que c’est “Me” qui est connecté, et pas mon John235566.
  • Les tarifs indiqués ne sont pas bons. Le Colissimo coûte plus cher que ça, et la protection leboncoin est de 4% du prix. Donc pour un objet à 400€, il devrait y avoir 16€ de frais de protection.
  • A vérifier, mais je ne suis pas sûr que leboncoin transmette forcément vos coordonnées au vendeur. En tout cas, pas quand on passe par les points Mondial Relay.
  • Surtout : le site n’est pas le bon. Vous êtes amenés sur leboncoin-my.com et pas leboncoin.fr. La différence est subtile, mais elle est de taille. D’ailleurs, le certificat qui signe le https du bon coin est signé par Gandi, en France. Ce faux certificat est signé par Cloudflare aux US (voir capture ci-dessous).
Le faux site, avec son certificat signé par cloudflare
Le certificat du vrai site du bon coin pour *.leboncoin.fr, signé par Gandi

Voilà voilà. J’espère que ça permettra à certains de ne pas se faire arnaquer. @+ !

Michaël

Tags:

Michaël

Chrétien, de formation scientifique (chimie) mais recyclé (c'est bien vu à notre époque) dans l'informatique, je m'intéresse à un tas de choses. Vous retrouverez donc ce joyeux mélange sur ce site. Certains sujets m'ayant donné du fil à retordre, je me dis qu'en écrivant ces articles, ça peut aider certaines personnes à trouver plus rapidement.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.