Semaine 14 : Hameçonnage par petites annonces – le nombre de signalements a quintuplé en un an

Service navigation

Recherche

Navigation

Semaine 14 : Hameçonnage par petites annonces – le nombre de signalements a quintuplé en un an

08.04.2025 - L’Office fédéral de la cybersécurté (OFCS) publie régulièrement des mises en garde contre les arnaques aux petites annonces. Ces dernières offrent une multitude de possibilités d’attaque. Parmi les variantes classiques figurent la vente de marchandises fictives ou le non-paiement d’objets achetés et déjà expédiés. Les escrocs qui pratiquent l’hameçonnage par petites annonces jettent leur dévolu sur les données de carte de crédit, les comptes Twint ou les identifiants d’e-banking. Ces dernières semaines, le nombre de signalements d’hameçonnage par petites annonces a fortement augmenté.

L’OFCS publie régulièrement des mises en garde contre les arnaques sur les plateformes de petites annonces, car celles-ci offrent de nombreuses possibilités d’attaque. Une multiplication inquiétante des signalements d’hameçonnage par petites annonces a été constatée ces dernières semaines : alors que le nombre de cas signalés était encore inférieur à 50 il y a un an, il a franchi la barre des 250 en février 2025.

Évolution du nombre de cas d’hameçonnage par petites annonces depuis janvier 2024.
Évolution du nombre de cas d’hameçonnage par petites annonces depuis janvier 2024.

La tentative de fraude commence par une vente sur une plateforme de petites annonces. Le plus souvent, une personne potentiellement intéressée se manifeste peu de temps après la publication de l’annonce. Les deux parties se mettent rapidement d’accord et discutent des modalités de paiement sur WhatsApp. L’acheteur ou l’acheteuse propose un mode de paiement auprès d’une entreprise connue, en général la Poste, et envoie un lien à sa victime en l’invitant à cliquer dessus pour récupérer l’argent déjà transféré. Les pages qui s’ouvrent semblent authentiques et inspirent confiance, mais elles visent à subtiliser des données sensibles, telles que des coordonnées bancaires ou des informations de compte. Le lien, qui comprend le nom de l’entreprise connue, mène en réalité à un site frauduleux.

Pour rendre le site web crédible, l’escroc l’adapte à la personne qui vend la marchandise. Par exemple, le prix est ajusté à l’offre, et une photo de l’objet vendu est parfois insérée.

Site web de la Poste d’un réalisme trompeur, permettant soi-disant de récupérer le montant versé.
Site web de la Poste d’un réalisme trompeur, permettant soi-disant de récupérer le montant versé.

Ensuite, la victime indique si elle souhaite que l’argent soit transféré sur sa carte de crédit ou sur son compte Twint. Les personnes qui optent pour la carte de crédit doivent alors saisir leurs données de carte de crédit (simple hameçonnage de carte de crédit). Celles qui préfèrent Twint sont redirigées vers une page sur laquelle figurent les logos Twint de différentes banques, comme c’est le cas pour de nombreuses boutiques en ligne.

Page permettant de choisir l’application Twint d’un établissement financier.
Page permettant de choisir l’application Twint d’un établissement financier.

Un clic sur le symbole de sa banque ouvre une copie exacte de la page de connexion de celle-ci. Une fois le numéro de contrat, le nom d’utilisateur et le mot de passe saisis, une fenêtre s’affiche, avec un message indiquant qu’il faut attendre, sans rien fermer, faute de quoi le processus sera interrompu. C’est un indice signalant que les escrocs tentent de se connecter à l’e-banking en arrière-plan. Tous les comptes d’e-banking sont protégés par une double authentification : le nom d’utilisateur et le mot de passe ne suffisent pas, il faut aussi valider un deuxième facteur. Celui-ci n’est toutefois demandé que lorsque le processus de connexion a démarré. Les escrocs se connectent donc en arrière-plan et font patienter leur victime.

Une fois les données de connexion à l’e-banking saisies, une fenêtre indiquant qu’il faut attendre trois minutes avant de quitter la page s’affiche.
Une fois les données de connexion à l’e-banking saisies, une fenêtre indiquant qu’il faut attendre trois minutes avant de quitter la page s’affiche.

Au bout d’un moment, une fenêtre d’assistance apparaît. La victime doit alors indiquer si elle possède un lecteur de carte. Si c’est le cas, les escrocs lui communiquent le code à saisir. Ils ont obtenu ce code après avoir saisi le nom d’utilisateur et le mot de passe. En leur communiquant le code correspondant fourni par le lecteur de carte, la victime leur donne accès au portail d’e-banking. L’OFCS ignore si cet accès est utilisé pour un prélèvement direct ou si les escrocs emploient les données dérobées pour tenter de transférer le compte Twint associé au compte bancaire vers un autre numéro.

Une fois les données bancaires saisies, on vous demande le deuxième facteur d’authentification, par exemple le code affiché sur le lecteur de carte.
Une fois les données bancaires saisies, on vous demande le deuxième facteur d’authentification, par exemple le code affiché sur le lecteur de carte.

Usurpation directe de compte Twint prépayé

Il existe une variante : les escrocs prétendent que le montant de la vente a déjà été transféré et que la victime peut le récupérer sur son compte Twint prépayé. Pour cela, il lui suffit de fournir quelques données d’accès, soit, dans un premier temps, son numéro de téléphone et son code NIP Twint. À l’aide de ces données, les escrocs tentent de transférer le compte sur leur appareil et de déclencher l’envoi d’un code de sécurité, que leur victime reçoit par SMS. Sans ce code, ils ne peuvent pas transférer le compte Twint. C’est pourquoi ils tentent, dans un deuxième temps, d’amener la victime à le leur communiquer. Une fois en possession de ce code et du code NIP Twint à six chiffres saisi précédemment, ils peuvent prendre le contrôle du compte Twint de leur victime et y accéder directement.

Page d’hameçonnage visant à prendre le contrôle du compte Twint.
Page d’hameçonnage visant à prendre le contrôle du compte Twint.

Le plan B : dérober les données de la carte de crédit

Mais ce n’est pas tout ! Les escrocs ont prévu un piège supplémentaire si quelque chose tourne mal ou s’ils ne sont pas en ligne au bon moment : leur victime est redirigée vers une autre page d’hameçonnage qui demande les données de la carte de crédit. Ainsi, les escrocs disposent au moins de ces données, qui peuvent ensuite être utilisées à mauvais escient.

Page d’hameçonnage pour obtenir les données de carte de crédit si l’attaque initiale échoue.
Page d’hameçonnage pour obtenir les données de carte de crédit si l’attaque initiale échoue.

Recommandations

  • Si vous avez vendu quelque chose et devez recevoir de l’argent, ne fournissez jamais vos données de carte de crédit, vos identifiants d’e-banking ni votre code Twint.
  • Ne transmettez jamais les codes reçus par SMS.
  • Ne cliquez pas sur les liens contenus dans des messages suspects : ne saisissez jamais de données personnelles sur des pages web ouvertes via un lien figurant dans un courriel ou un SMS suspect.
  • N’envoyez la marchandise qu’après avoir reçu le montant convenu sur votre compte ou demandez un paiement en espèces lors de l’enlèvement de la marchandise. N’acceptez pas de paiement par chèque.
  • Ne vous fiez pas aux confirmations de paiement envoyées par courriel. Celles-ci peuvent être falsifiées. Vérifiez directement sur votre compte si le paiement a été correctement effectué.
  • Faites preuve de prudence si la personne qui achète la marchandise veut payer plus que le prix convenu.
  • Ne payez pas de prétendus frais de transport ou de transfert quand vous vendez un article.

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 08.04.2025

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2025/wochenrueckblick_14.html