Victime d'une arnaque à l'IBAN, Martin a perdu plus de 1500 euros dans une transaction sur un site

Un utilisateur du site Leboncoin avait vendu un appareil photo 1550 euros fin 2025. Mais la somme, pourtant bien versée par l'acheteur, a atterri directement sur le compte bancaire d'escrocs qui ont réussi à lui soutirer ses identifiants. Voici comment ils ont procédé.

Le vendeur n'a pas vu le piège se refermer, car l'interface du site frauduleux est la même que celle où il a ses habitudes. © ArtPhoto_studio / Freepik

Par Sabrina Guintini

Publié aujourd'hui à 00h06.

Lecture : 1 min

Si vous avez l'habitude de vendre des articles sur Leboncoin, vous avez peut-être remarqué depuis quelques mois un changement dans les e-mails envoyés par la plateforme, sous la forme d'un encart de prévention rappelant de ne jamais cliquer sur des liens suspects. Cet ajout, on le doit à Martin, raconte un article de Numerama. Le 29 novembre 2025, cet utilisateur reçoit un mail de la plateforme. Son objet : «Administration via leboncoin». Il ne se méfie pas, car ce type d'intitulé lui est familier. Le corps du mail n'éveille aucun soupçon non plus. Le message lui demande de mettre à jour ses informations. Il clique et se retrouve sur le site. Là, il rentre les informations demandées.

Si Martin ne voit pas le piège se refermer, c'est non seulement car l'interface du site est la même que celle où il a ses habitudes, mais aussi parce que cette mesure de «sécurité» lui semble pertinente au vu des annonces qu'il a postées. Parmi elles, un appareil photo qu'il propose au prix de 1550 euros : «Ça me semblait cohérent qu’il y ait une mise à jour de sécurité après que je poste une grosse annonce», se souvient-il. Et peu après, le 5 décembre, l'appareil trouve preneur. La transaction est bouclée, l'acheteur effectue le paiement.

Les escrocs ont remplacé l'IBAN du vendeur par le leur

Mais la somme, réellement versée par l'acheteur, n'arrivera jamais sur le compte bancaire de Martin. Car en rentrant ses informations quelques jours auparavant sur ce qu'il pensait être le site de Leboncoin, l'internaute les a livrées «clés en main» à des escrocs qui ont simplement créé un profil utilisateur nommé «Administration». Astucieux : tous les mails générés dans la messagerie interne ayant pour intitulé «[identifiant] via leboncoin», leur faux mail d'alerte a même été relayé automatiquement par la plateforme.

Munis des identifiants de Martin, les escrocs ont pu remplacer son IBAN par le leur, domicilié en Lituanie, et attendre que le fruit de sa vente atterrisse dans leurs poches. Notifié d'un virement inhabituel, le vendeur comprend qu'il a été victime de vol. A peine plus de dix minutes après, il alerte le service client du site et dépose plainte. Dans un premier temps, le site décline toute responsabilité : les conditions générales le protègent pour ce qui est du piratage, et Martin n'avait pas activé la double authentification. C'est trois mois plus tard, après l'intervention d'un avocat et l'envoi d'une mise en demeure, que Leboncoin rembourse Martin, évoquant un «geste commercial à titre discrétionnaire». L'histoire ne dit pas si l'acheteur, lui, est satisfait de son nouvel appareil photo.

Suivez Capital sur Google

Pour ne rien rater de l'actu éco et des enquêtes de la rédaction.