Attention aux fraudeurs via Paypal
Par: David Hamel | Le: 16-08-2010
Mots-clefs :annonces-classées, commerce électronique, paypal, phishing
7
Bonjour à tous!
J’espère que vous allez bien. Les habitués de mon site savent à quel point je suis amant du web et particulièrement des transactions en ligne. Je vous ai raconté de nombreuse histoires dans lesquelles j’ai souvent fait des « deals incroyables ». Aujourd’hui, ce ne sera pas le cas. En effet, je voudrais vous raconter ma dernière expérience en ligne en tant que vendeur, en espérant vous éviter de vous faire avoir dans le même genre de situation.
Ce weekend, j’ai décidé de mettre mon vélo de spinning en vente 500$ sur des sites de petites annonces (Kijijji, MarketPlace, Craig’s List etc). Il est flambant neuf pour ceux que ça intéresse, je l’ai utilisé une dizaine de fois 
Bref, je le mets en ligne et j’attends d’avoir des news. C’est la première fois que je vends quelque chose sur ce genre de site, mais connaissant la popularité de ces sites, je me dis que ça ne devrait pas être trop long. Une journée plus tard je reçois ce email:
hello is your item still up for sale?
sent from my iphone
Fier de recevoir une réponse aussi rapidement, je réécris en disant que oui et je demande si la personne est intéressée. Le lendemain, la personne me réécris en me demandant de lui envoyer des photos supplémentaires (il en avait 2 dans mon annonces) puisqu’elle ne pourra pas se déplacer pour le voir. Je réponds donc à sa demande et lui envoie les photos.
Une journée plus tard la personne me réécris en me disant qu’elle veut acheter le vélo et que je ne serai pas responsable du shipping. Une compagnie va me contacter pour confirmer mon adresse et pour céduler un ramassage. Je réécris donc à la personne en lui disant que le vélo ne quittera pas si je n’ai pas reçu le montant avant ou lors du ramassage (ce qui semble quand même évident). Je lui écris aussi que je vais seulement accepter du cash, un chèque certifié ou un transfert via PayPal (aujourd’hui je me rends compte que ce fut une erreur). Entre temps, je vais voir les différentes consignes de sécurité du site des PAC.
Aujourd’hui, je reçois un courriel me disant qu’on ferait la transaction via Paypal pour des raisons de sécurité. La personne me demande mon adresse courriel pour faire le transfert immédiatement. J’envoie donc mon adresse courriel Paypal. Et c’est la que la manigance commence (en fait elle avait déjà commencée, mais trop zouf, je m’en étais pas rendu compte)! Quelques minutes plus tard, je reçois dans mes courriel, le courriel suivant:
Quelques minutes plus tard je reçois celui-ci:
Entre temps, je reçois un courriel de la compagnie de transport qui me dit:
Quelques minutes, plus tard je reçois le email suivant de la personne:
Là je me dis wohhh WTF faut que j’envoie le 300$ via Western Union pour que j’ai accès à mon 800$ et c’est moi qui doit s’arranger avec la compagnie de transport alors que ce n’était pas supposé être le cas.
Je réécris donc à la personne pour lui mentionner que je ne veux pas « dealer » avec le transport (selon notre accord) et encore moins avec le fait d’envoyer 300$ à la compagnie de transport via Western Union. On doit trouver une autre façon de procéder…
C’est là que j’allume (et je suis sûr que plusieurs d’entre vous vont se dire: Criss il était temps Hamel 
) et je décide de checker comme il faut les courriels de Paypal dans mon gmail. (Note: Je travaille donc je vois passer mes emails sans y porter une grande attention). Et là voici ce que je découvre:
Avant
Après
Ben oui, l’adresse fundconfirmed@consultant.com est la vraie adresse utilisée et non celle de Paypal. Évidemment aucune trace d’une « transaction on hold » dans mon compte Paypal. C’est là que je call Paypal pour demander des infos et on me confirme que c’est un Spoof et de transférer les courriels à l’adresse suivante: spoof@paypal.com.
Mais là suite à mon dernier courriel dans lequel je demande à Mary de trouver un autre moyen de procéder, j’en reçois un autre:
Je dois dire une chose, je suis impressionné par la ténacité des gens qui font du « phishing« . Je n’ai pas répondu à ce courriel, mais je vais laisser quelques jours passer pour voir si elle va me revenir. Entre temps, je vais communiquer avec le département de cybercriminalité de la sureté du Québec, je ne sais pas s’ils pourront faire quelque chose, mais je vais tenter ma chance.
Pour conclure, je voudrais faire mon Mea Culpa et m’excuser auprès des personnes qui se sont fait prendre par hameçonnage. En effet, j’ai déjà dit: « Putin qu’il faut tu être cave pour répondre à des emails et donner des informations bancaires ». J’ai aujourd’hui failli me faire prendre par une mise en scène presque parfaite et ce même si je suis plongé dans le web depuis plusieurs années… Quand même, me demander des photos supplémentaires dès le début, il fallait le faire…
Je mets donc mon orgueil de côté, car oui j’ai eu l’air fou, mais d’un autre côté si ça peut vous éviter de vous faire prendre, tant mieux !!! En passant contactez-moi si vous voulez mon Spinning Bike !
Later folks
Moi ce qui m’aurait dérangé c’est que si tu regardes les 2 premières images, les noms et adresses du destinataire sont différentes.
Il est vrai que quand on sait que c’est du phising, on fait plus attention aux détails
Merci du commentaire Vero!
En fait ce qu’il faut savoir et que p-e je n’ai pas bien expliqué c’est que l’acheteur est Mary dans ce cas-ci (avec son adresse) mais le 300$ que je dois envoyer est à un « agent de livraison » (avec une autre adresse) qui va s’occuper de venir chercher le vélo.
C’est la raison pour laquelle les adresses sont différentes.
Merci David pour cette histoire. Très intéressant à lire.
Je suis fervente de mon compte PayPal – 50% de mes clients me paient en utilisant ce service. Mais il faut être vigilant avec PayPal. Je reçois régulièrement des messages « phishing » qui m’invite à vérifier mon compte, confirmer une transaction, etc. Il faut absolument vérifier l’adresse courriel de l’expéditeur pour TOUS les courriels provenant de PayPal. Mais certaines sont ingénieuses en ayant enregistrer un domaine comme security-paypal.com (exemple) pour un courriel comme info@security-paypal.com. Il faut absolument que le courriel provienne de @paypal.com
Malgré ces inconvénients, PayPal est un service que j’utilise depuis plus de 5 ans et je ne pourrais pas faire affaire sans lui. Pas besoin d’attendre le « check in the mail », pas besoin d’aller à la banque pour faire des dépôts. Et capable de transférer des fonds à mon compte bancaire. Et le tout GRATUIT!
J’en reviens pas de l’acharnement de ces criminels. Mais contente que tu aies allumé avant qu’il ne soit trop tard. Je suis convaincue que plusieurs se font prendre au piège.
Merci Diane,
Même chose de mon côté, je n’ai rien à dire contre Paypal.
Le pire pour faire suite à mon histoire, j’ai reçu deux autres emails, 1 de la personne qui me menaçait de lui envoyer l’argent ou elle allait me reporter à Paypal. Quelques minutes plus tard, je recevais un courriel de Paypal en association avec le FBI qui me disait que je serais poursuivi par la personne si je ne payais pas…
Je te jure, j’ai fait WOW ça se peut pas, ils ont une réponse à TOUTES les situations!
Une semaine plus tard, la personne m’a réécrit (cette fois d’une façon plus courtoise) pour me demander ce qui se passait et pourquoi je ne répondais plus.
Je me suis dit: « Comment tu te sens de ne pas recevoir de réponse » parce que c’est sûr que c’est ça tu aurais fait avec moi une fois que j’aurais payé. C’était une forme de vengeance personnelle pour tout ceux qui se sont fait prendre
Bonjour,
Es-ce-que vous pouvez m’aider à me débarasser des courriels indésirable et me dire comment ils font pour obtenir nos adresse courriel. Je suis harselé de email, BMO, PAYPAL,CIBC, BANQUE ROYALE, MASTER CARTE OU VISA. Aidé moi à me défaire de cela.
Bonjour Denise,
C’est certain que votre situation est différente de la mienne, mais voici ce que je ferais.
Sans ouvrir le message, sélectionnez-le et cliquez sur le bouton SPAM. Normalement la prochaine fois que vous allez en recevoir un de l’un de ces destinataires, il va aller directement dans votre boite de spam.
Ne vous découragez pas, ça se peut que vous en receviez encore pendant quelque temps, mais à force d’en sélectionner comme spam, vous allez vous en débarrasser.
Le plus important dans l’avenir est de ne PLUS jamais ouvrir un courriel. Je sais on est curieux de voir si notre banque, carte de crédit, etc. à vraiment quelque chose à nous communiquer, mais croyez-moi JAMAIS ils vont entrer en contact avec vous via courriel. Donc ne les ouvrez pas.
Les spammeurs ont des logiciels qui leur indiquent qui a ouvert ou non, leur courriel. Si vous êtes dans la liste de ceux qui l’ont ouvert, ils vont vous harceler sans cesse.
Pour répondre à votre question sur comment ils ont eu votre courriel, les techniques sont nombreuses.
Ça va de la chaine de courriel (vous savez les messages dans lequel on vous demande d’envoyer ce message à 100 personnes et que votre vœu va se réaliser).
Ça peut être aussi l’inscription à des sites louches (ex: l’inscription sur un site d’horoscope)
etc…..
Si jamais vous n’en pouvez plus, créez-vous un autre adresse email. Envoyez un message à vos amis pour leurs dire que vous avez changé d’adresses. Si vous avez des courriels que vous voulez garder, envoyez-les tout simplement à votre nouvelle adresse.
En espérant que ça peut vous aider
wow, toute une histoire! Il faut dire que dès que j’entends les mots Western union dans une transaction, je vais tout canceler. Je ne sais pas si vous avez utilisé cette méthode. Un de mes amis avait déjà fait un virement avec ce système pour un achat d’environ 1000 $ à l’étranger.
Lorsqu’il n’a pas reçu les articles qu’il avait achetés, il s’est vite rendu compte en faisant ses recherches que cette méthode ne permet pas de savoir qui a reçu l’argent, ni à quel endroit, ni quand.
Par expérience, je suis à 95 % certain que même le sois disant « agent de livraison » était en relation avec l’arnaqueur (probablement une entreprise qu’il a lui-même créée et qu’il aurait reçu directement le 300 $ de livraison.
Il y a donc un risque que personne ne soit allé chercher le vélo et que vous ayez simplement perdu le 300$.
-Antoine