Arnaque Leboncoin : ça commence par un RIB…
Bonjour, je vous décrit ici une nouvelle arnaque, liée encore une fois au bon coin. J’en ai fait les frais et ça aurait pu me coûter cher. Comme souvent, l’idée c’est que ça évite à certains de se faire avoir !
Ça commence par un RIB…
Mon épouse met en vente un objet sur leboncoin, et quelqu’un la contacte rapidement après la mise en ligne de l’annonce. Il ne veut pas passer par le paiement du bon coin (comme beaucoup de gens malheureusement), et propose de nous faire un virement. Pourquoi pas, après tout c’est lui qui prend le risque, pas nous. Donc mon épouse lui envoie un RIB pour qu’il puisse faire le virement. Il nous demande ensuite un numéro de téléphone pour régler les détails en direct au téléphone. Mon épouse lui donne aussi. Peu après, plus de nouvelles. Bon, il y a tellement de gens étranges sur ce site, que ça en est un de plus et puis c’est tout. On finira pas vendre à quelqu’un d’autre.
Finalement le lendemain, nous nous rendons compte que le compte de cet acheteur a été bloqué par leboncoin pour utilisation frauduleuse. Pas super étonnant, c’était un compte sans aucun avis et créé ce mois-ci. Ce n’est jamais bon signe. Du coup, tant mieux, on est tranquilles avec cette personne. Fin de l’épisode 1.
… et ça continue avec un appel téléphonique
3 jours plus tard, je reçoit un appel (numéro en 0810) d’un monsieur du Crédit Mutuel (ma banque) qui me dit que la banque a repéré un virement étrange depuis mon compte. Un virement de 1400€ vers une personne, dont il me donne le nom.
Bien sûr, je ne la connais pas.
Il me demande si je me suis rendu à Paris les derniers jours.
Bin non.
Il me dit que c’est probablement une arnaque, et qu’il va faire le nécessaire pour bloquer ce virement frauduleux.
Merci monsieur, c’est vraiment super que les banques surveillent ça. Ils sont bien au Crédit Mutuel. <mode pub> Une banque qui appartient à ses sociétaires, ça change tout ! </mode pub>
Il me dit qu’il faut absolument que je change mon mot de passe, car la personne s’est connectée à mon compte.
Normal.
Il va m’aider dans la démarche.
Bon… j’avoue que je sais très bien changer un mot de passe, mais puisqu’il est sympa, je vais suivre ses instructions. S’il n’avait pas été là, je perdais 1400€ quand même !
Il me demande mon identifiant, puis mon mot de passe d’accès.
Ah, bah tiens, c’est étrange ça. Je lui dit que sa procédure est étrange, normalement on ne donne pas son mot de passe.
Il me dit qu’il peut effectivement faire la modification de son côté, mais que ça va envoyer un courrier et me bloquer l’accès 3 jours, du coup il va passer par un autre moyen plus rapide.
Je lui donne mon mot de passe. Arg….
Bien sûr, au moment où je lui donne le mot de passe, je me dis qu’il ne faut pas. Il ne faut JAMAIS donner son mot de passe. Alors je lui répète que sa procédure est étrange, et je lui demande s’il peut m’envoyer un message via la messagerie interne de la banque, pour confirmer qu’il y travaille bien.
Il me répond que oui, bien sûr, qu’il va le faire tout de suite.
Mais plus de réponse. Mon interlocuteur a juste gagné du temps, et finalement il me raccroche au nez. OK, c’est confirmé, je me suis fait avoir.
<mode énervé sur moi-même> J’hallucine de lui avoir donné mon mot de passe, alors que plusieurs éléments attiraient ma méfiance, et que je suis pertinemment bien qu’il ne faut jamais donner son mot de passe. C’est pas comme si je travaillais dans l’informatique, avec un rôle dans la sécurité des systèmes d’information, et que je sensibilise régulièrement les agents de mon service à ça…. </mode énervé sur moi-même>
Réaction rapide
Premier réflexe, pendant que je discutais avec ce monsieur, j’ai ouvert mon compte sur le site de la banque. Comme je ne le sentais pas (ce qui ne m’a pas empêché de lui donner mon mot de passe, grr…), j’ai ouvert la page de changement de mot de passe. Du coup, dès que la personne raccroche, je fais une demande de changement de mot de passe et je la valide. Je tente de me reconnecter, ça ne marche plus. Peut-être que la personne a fait la même chose juste après moi, et que c’est sa demande qui est valide ? Du coup je plante l’authentification plusieurs fois histoire de bloquer le compte.
Deuxième réflexe, je cherche le numéro d’urgence de la banque pour les appeler. En fait, c’est le même que celui qui m’a appelé. En tout cas, c’était ce numéro-là qui était présenté. Je tombe sur un service où il faut taper je-ne-sais-quel-numéro pour être mis en relation avec un conseiller. Le monsieur qui me parle est gentil, et me rappelle direct qu’il ne faut jamais donner son mot de passe… Juste pour rire, ce monsieur a à peu près la même voix que l’arnaqueur, et la même manière de parler !!
Bref, je vous passe les détails, mais ce monsieur fait le nécessaire pour débloquer mon accès, réinitialiser mon mot de passe (il ne me le demande pas, lui !) et annuler un virement étrange (lui aussi :-D).
Conclusion
Conclusion courte : “Il ne faut JAMAIS donner son mot de passe”. Les conseillers de la banque n’en ont pas besoin et ne doivent pas vous le demander.
A la réflexion, je me suis bien rendu compte du contexte qui est mis par les arnaqueurs pour tenter de nous avoir. On était sur nos gardes avec cette histoire de RIB, et du coup l’appel est arrivé dans le bon contexte. Le monsieur a bien emballé le truc, et du coup j’ai fait quelque chose que je sais pertinemment bien qu’il ne faut pas faire. Je n’en reviens toujours pas. J’avoue j’ai carrément honte d’avoir donné un mot de passe, vu mon travail, ma fonction en SSI, et le fait que je sais très bien qu’il ne faut pas le faire.
Heureusement j’ai réagit très vite, et empêché toute catastrophe.
J’ai envie de dire aussi de ne pas donner votre RIB à n’importe qui. Le RIB seul n’est pas hyper dangereux, mais ça donne déjà pas mal d’infos à votre interlocuteur (adresse, nom, prénom, numéro de compte). Et du coup c’est une bonne base pour un phishing téléphonique.
Michaël
[Edit du 25/11/2022] En ouvrant l’application du Crédit Mutuel hier soir, voilà le message qui s’affiche. Si après ça, ça n’est pas clair…
