Camille Gruhier
LeboncoinAttention aux tentatives d’arnaque par QR code
Une nouvelle arnaque sévit sur la plateforme de vente entre particuliers Leboncoin. Cette fois, les escrocs détournent les acheteurs du système de paiement sécurisé en leur faisant flasher un QR code. Illustration avec le cas d’Anne P., volée de 1 334 €, que sa banque et Leboncoin refusent de rembourser.
Les arnaques sont fréquentes sur Leboncoin. Après le phishing par SMS à l’affût de coordonnées bancaires, voici un nouveau cas qui consiste à contourner le système de paiement sécurisé de la plateforme. L’an dernier, nous vous racontions la mésaventure d’Elie qui, flairant l’arnaque, avait renoncé à envoyer son ordinateur à un acheteur douteux. Trop tard pour Anne P. qui, en tant qu’acheteuse cette fois, a payé deux fois 667 € pour un tour de poterie dont elle n’a jamais vu la couleur. Nouveauté, l’arnaque passe par un QR code, un vecteur à la mode chez les escrocs.
En juin dernier, Anne repère l’annonce de Tigratop42 et lui fait une offre à 650 € (667 € avec les frais de port) pour son tour de poterie. Le vendeur accepte la proposition et envoie à Anne un QR code pour procéder au paiement. « J’ai flashé avec mon smartphone le QR code affiché sur l’écran de mon ordinateur et suis arrivée sur une page de paiement sécurisé Leboncoin. Enfin, sur ce qui avait tout l’air d’une page officielle…, se souvient Anne, qui choisit alors sans méfiance un point relais pour la livraison, saisit ses informations bancaires et réalise une authentification forte via son application. Et là, rien ne s’est passé. Puis le vendeur m’a fait croire qu’un autre acheteur avait payé pour le tour en même temps, ce qui avait court-circuité le process. Il m’a demandé de renouveler l’offre, renvoyé un QR code, et j’ai payé une deuxième, puis une troisième fois. » Nous avons pu consulter les échanges entre Anne et Tigratop42 qui, précisons-le, rédigeait avec courtoisie, sans fautes d’orthographe, et même sur un ton rassurant qui mettrait n’importe qui en confiance. C’est une alerte de sa banque à la troisième tentative, bloquant le paiement car soupçonnant une transaction frauduleuse, qui a ouvert les yeux à Anne sur le fait qu’il s’agissait là d’une arnaque.
Faisceau d’indices
Leboncoin est-il au courant de cette nouvelle escroquerie ? Les cas sont-ils fréquents ? Impossible de le savoir, la plateforme n’a pas daigné répondre à nos questions malgré de nombreuses relances. Une chose est sûre, le site décline toute responsabilité. « À mon courrier les informant de l’arnaque dont je venais d’être victime, ils ont répondu que la transaction ayant eu lieu en dehors du site, ils étaient hors de cause. Leur conseil, me retourner vers ma banque pour un remboursement. Ce que j’ai fait, mais ma banque est restée tout aussi sourde à ma demande, car le processus de sécurité avait été validé », s’étrangle Anne, qui a porté plainte et mis l’affaire entre les mains de son avocat. A-t-elle des chances de retrouver son argent ? Rien n’est perdu, mais il faudra s’armer de patience. « Dans les cas de phishing, dont le quishing (phishing par QR code) est une déclinaison, le droit s’appuie sur ce qu’on appelle le faisceau d’indices, c’est-à-dire sur tous les éléments graphiques, conversationnels, qui permettront de juger si le consommateur a été négligent ou si, au contraire, n’importe qui se serait fait piéger », explique Mélanie Saldanha, juriste au sein de l’UFC-Que Choisir. Autant de démarches dont on préfère se passer. Alors un conseil, sur Leboncoin, ouvrez l’œil, et le bon !