La marketplace de Facebook est devenue un point de départ de tentatives de phishing. Les arnaqueurs se font passer pour des acheteurs potentiels pour récupérer vos informations personnelles. Ils vous imposent un paiement par PayPal pour tenter ensuite de récupérer les données vous concernant.
Marketplace Facebook, terrain d’initiation de phishing
Des cybercriminels se servent du réseau social de Mark Zuckerberg pour lancer des phishing. Pour cela, ils se servent de la marketplace, la plateforme de commerce d’occasion de Facebook. Depuis peu, elle est devenue le point de départ des tentatives de phishing. Se faisant passer pour des acheteurs potentiels, les cybercriminels répondent aux offres et contactent le vendeur par message privé. Ils se montrent intéressés mis en vente, comme n’importe quel acheteur. Comme pour toute intention d’achat, il est normal de se renseigner sur la disponibilité de l’article et le mode de paiement.
Cependant, les cybercriminels ne proposent pas, mais imposent le paiement par PayPal en prétextant le niveau de sécurité élevé de ce dernier. Il demande alors l’adresse e-mail et le numéro du vendeur pour effectuer la transaction. Il se propose même de payer le frais de port pour mieux appâter sa cible. En soit, cela ne suppose pas une tentative d’arnaque. Néanmoins, leur insistance associée aux fautes de grammaire qu’ils font est suspecte.
Phishing, les cybercriminels se font passer pour PayPal
Comment l’arnaqueur procède-t-il ? Après avoir récupéré votre adresse e-mail (même si elle n’est pas rattachée à votre compte PayPal), il vous envoie un courriel sous le nom du service de paiement. Vous remarquerez que l’arnaqueur utilise deux adresses différentes pour l’adresse d’affichage et celle de l’expéditeur. L’adresse d’affichage est « [email protected] » et l’expéditeur réel et « [email protected] ». Or, l’adresse d’affichage et de l’expéditeur est toujours « [email protected] » lors d’une transaction PayPal légitime.
Le contenu est le deuxième signe de l’arnaque. Bien qu’il semble relativement plausible, un point interpelle immédiatement. Il vous sera demandé de cliquer sur un lien de redirection pour récupérer l’argent. Ce lien redirige vers un questionnaire sur Google form. Dans ce questionnaire, on vous demande de donner des informations sensibles : nom, prénom, adresse postale, numéro de téléphone, coordonnées bancaires, ainsi que votre mot de passe.
Que faire si vous avez fait l’objet d’une tentative de phishing ?
Le phishing ou hameçonnage est très dangereux. En récoltant des informations détaillées sur vous, l’arnaqueur peut voler votre identité et l’utiliser pour effectuer des actions frauduleuses, dont des transactions bancaires non autorisées.
Même si personne n’est à l’abri de l’hameçonnage, sachez que vous ne risquez rien si vous avez simplement cliqué sur le lien indiqué dans l’e-mail. Cependant, si vous avez inséré vos informations personnelles, il faut réagir. Si vous avez renseigné vos coordonnées bancaires, faites rapidement opposition sur votre carte bancaire. Si une transaction frauduleuse a été faite, n’hésitez pas à la déclarer sur Perceval, une plateforme publique destinée au signalement des fraudes bancaires.
Vous devez aussi changer vos mots de passe. Enfin, soyez vigilant par rapport aux e-mails et appels que vous recevrez les jours suivants.