Une cafetière ou un smartphone à 1,95 €… Attention aux arnaques sur Facebook

Les offres paraissent très alléchantes. Un smartphone Samsung Galaxy S22 à 1,95 euro (contre 699 euros en ligne), une machine à café DeLonghi au même prix (au lieu de 300 euros). Ou encore des palettes de produits électroménagers à seulement 2 euros. Ces offres utilisent le nom d’enseignes ou de plateforme connus comme Lidl, Auchan ou Amazon.

Capture d'écran du page Facebook proposant de fausses promotions.
Capture d’écran du page Facebook proposant de fausses promotions. – Capture d’écran/Facebook

Pour justifier de telles promotions, les arguments avancés sur des pages Facebook de type « Meilleure offres » (sic) ou « Electronique à prix réduit » sont similaires : des stocks de produits de l’année précédente doivent être écoulés.

L’entreprise « peut les jeter », mais organise « un événement caritatif et donne à prix réduit » les téléphones, cafetières, et autres produits électroménagers, vantent les posts. Pour appuyer l’offre, des commentaires enthousiastes d’internautes affirment avoir reçu le colis en question, avec une photo pour preuve.

FAKE OFF

Ce n’est pas la première fois que ce type d’arnaque au phishing apparaît sur Facebook, avec pour but d’inciter à communiquer des données personnelles et/ou bancaires. L’UFC Que Choisir alertait sur le procédé en 2015 ou 2019, avec à la clé soi-disant des smartphones Samsung ou IPhone à 1 euro. 

« C’est une technique classique qu’on voit régulièrement, commente Jean-Jacques Latour, directeur de l’expertise cybersécurité de cybermalveillance.gouv.fr, un site du gouvernement qui fait de la prévention sur le sujet. Ce business de faux jeux concours existe beaucoup aux Etats-Unis. En France, cela touche toutes les marques, avec aussi de faux bons d’achat concernant toutes les enseignes. »

De faux commentaires pour donner du crédit

Les escrocs ciblent également en fonction de l’actualité : en 2022, quand le litre d’essence dépassait les 2,20 euros, nombre d’escroqueries aux faux « bons de carburant de 100 L TotalEnergies pour 2 euros » sont apparus en ligne. « Les pages se créaient par dizaines par jour », se souvient Jean-Jacques Latour. Il y a la variante des barbecues Leroy-Merlin pour la fête des pères ou des paniers chocolat Milka à Pâques. « Il n’existe pas d’estimation des montants prélevés au total en France, complète-t-il. C’est un phénomène qui passe beaucoup sous les radars. » 

Qu’est-ce qui doit vous alerter si jamais vous êtes tentés de cliquer sur l’offre ? L’adresse web tout d’abord : elle n’est pas celle de l’enseigne concernée ou contient des fautes, les onglets des sites Internet copiés (ceux de Lidl ou d’Amazon ici) ne mènent à rien, les textes mélangent des phrases en anglais et en français, avec des fautes d’orthographe. 

Pour tenter de convaincre, de faux commentaires sont associés aux publications. « Dans ces faux commentaires, des gens disent : « Je suis trop content, j’ai reçu tout de suite », c’est pour appâter le chaland, ajoute le directeur de l’expertise cybersécurité de cybermalveillance.gouv.fr. Mais ce que l’on peut voir aussi, c’est que vous, vous ne pouvez pas laisser de commentaires, car ils ont été fermés. »

Nous avons tenté notre chance…

Nous avons testé deux offres (sans donner nos coordonnées) : celle pour la machine à café De’Longhi à 1,95 euro et la palette Amazon à 2 euros. Elles fonctionnent sur le même modèle : le lien Facebook renvoie vers une page reprenant l’identité visuelle de l’enseigne (Lidl ou Amazon), mais avec une adresse web complètement différente (ydlbr.info ou juxugou.info). Il est ensuite demandé de répondre à trois questions pour  « confirmer que vous êtes bien une personne réelle ». 

La phase suivante est plus ludique : il nous est donné trois tentatives pour ouvrir un paquet cadeau et voir si nous pouvons remporter le prix. Comme la chance nous sourit, à la deuxième tentative, nous gagnons la machine à café et la palette Amazon. Se déclenche alors la troisième étape : il faut remplir un formulaire avec ses coordonnées, puis ses données bancaires sur un nouveau site.

Capture d'écran du site reprenant les éléments visuels de Lidl (en haut à gauche et à droite), avec une adresse delonghilidl.looktraffic.com (ce qui n'est pas l'adresse de la marque) et affirmant que nous avons remporté une machine à café.
Capture d’écran du site reprenant les éléments visuels de Lidl (en haut à gauche et à droite), avec une adresse delonghilidl.looktraffic.com (ce qui n’est pas l’adresse de la marque) et affirmant que nous avons remporté une machine à café. – Capture d’écran

« Le phénomène des abonnements masqués »

Et c’est là qu’a lieu le phishing, en fournissant vos données personnelles (nom, adresse, numéro de téléphone) et vos données bancaires, vous autorisez le prélèvement régulier de sommes sur votre compte. Les modalités sont détaillées dans les petites lignes en haut ou en bas de la page. Celles-ci vous informent de la réalité des paiements. Il s’agit de vous abonner à un « service » de club de fidélité, dont l’offre est très floue. 

Le lien concernant la palette Amazon renvoie vers une page dreamwardrobe.online, où les données personnelles, puis les données bancaires sont demandées. En haut, en tout petit, les conditions précisent que l'internaute s'abonne à un service dont la côtisation coûte 44 euros et est prelevée tous les 14 jours.
Le lien concernant la palette Amazon renvoie vers une page dreamwardrobe.online, où les données personnelles, puis les données bancaires sont demandées. En haut, en tout petit, les conditions précisent que l’internaute s’abonne à un service dont la côtisation coûte 44 euros et est prelevée tous les 14 jours. – Capture d’écran

« C’est un phénomène qu’on appelle des abonnements masqués, détaille Jean-Jacques Latour. C’est-à-dire que vous acceptez sans le savoir, car les conditions sont écrites en tout petit et quasi illisible, d’être abonné à un service obscur qui va vous coûter de l’ordre d’une quarantaine d’euros par mois et dont vous allez avoir toutes les difficultés à vous défaire. » 

Après une période d’essai de quelques jours, « un montant est débité » sur votre carte de crédit, est-il indiqué sur le faux site Delonghi, devenu au paiement, club-gagnant.online. Pour la fausse offre Amazon, qui doit donner accès à des produits électroménagers finalement « non réclamés au bureau de poste », les conditions pointent que « l’utilisation des marques n’implique aucune affiliation ou approbation de leur part ». Au moment du paiement un nouveau nom de domaine apparaît : dreamwardrobe.online. Là aussi, il s’agit d’adhérer à un service « Dreamwardrobe », domicilié à Chypre. Le montant de la cotisation est de 44 euros, débité tous les 14 jours.

Chypre, un pays prisé des cybercriminels

Reçoit-on le produit soi-disant gagné ? Probablement pas, car les conditions affichées sur la page de paiement ont changé et évoquent un concours ou un tirage tous les 600 participants. Par ailleurs, la localisation à Chypre ne doit rien au hasard. « Bien souvent, les cybercriminels vont localiser leur activité, leur société dans des pays où il n’y a pas d’extradition, pas de coopération judiciaire, et Chypre en est un exemple », souligne Jean-Jacques Latour. 

Le directeur de l’expertise cybersécurité recommande d’aller vérifier avant tout sur le site officiel de la grande enseigne s’il y a une promotion et, le cas échéant, de signaler la fausse offre sur les réseaux sociaux ou sur la plateforme en ligne Pharos. Il faut aussi bien vérifier ses relevés de carte bancaire pour noter d’éventuels prélèvements frauduleux. Si c’est le cas, vous pouvez faire opposition au prélèvement et, si le numéro de carte bancaire a été donné, il faut aussi faire opposition à la carte bancaire, car elle peut être réutilisée. Et enfin, il recommande d’aller porter plainte auprès du commissariat de police ou de la brigade de gendarmerie.