Les clients Vinted ciblés par des cyberescrocs. Comment limiter les dégâts ?

Les clients de l'application Vinted ont signalé des fonds volés et des activités frauduleuses sur leurs comptes au cours des deux dernières semaines.

Qu'est-ce que Vinted ?

Vinted est une place de marché de vêtements d'occasion fondé en Lituanie où les utilisateurs peuvent revendre des vêtements et des accessoires de mode. La plate-forme s'est considérablement développée depuis son lancement en 2008, avec une base d'utilisateurs actifs actuelle de 45 millions actifs en France, en Espagne, au Luxembourg, en Belgique, aux Pays-Bas, en Allemagne, en Autriche, en République tchèque, en Pologne, au Portugal, en Lituanie, au Royaume-Uni, en Italie, aux États-Unis et au Canada.

Des centaines d'utilisateurs signalent des comptes piratés et des fonds volés

Comme de nombreux marchés et plates-formes en ligne prospères, Vinted n'est pas à l'abri des escroqueries. La plate-forme a attiré de nombreux escrocs qui vendent de faux vêtements haut de gamme, ainsi que des personnes avec de faux profils qui ne s'engagent jamais envers leurs acheteurs.

Au cours des deux dernières semaines, cependant, les clients en France, en Italie et en Espagne ont afflué sur le forum Vinted et les réseaux sociaux pour signaler des pertes de milliers d'euros. Des centaines de victimes ont fait appel à la plateforme pour obtenir de l'aide afin de récupérer l'argent volé.

"Je viens de remarquer que mon portefeuille Vinted était vide alors que j'avais 160 euros dessus", a déclaré un utilisateur.

« Ils m'ont piraté près de 800 euros, que puis-je faire ?, demande un autre. "Les 52 euros que j'avais sur mon compte ont été transférés sur le compte du fraudeur… C'est une somme dérisoire par rapport à certaines victimes quand je vois les commentaires… Mais c'est beaucoup pour moi", a expliqué un autre.

Le journal Le Parisien note que les témoignages d'utilisateurs ont afflué sur un compte Instagram géré par une ancienne employée de Vinted chargé d'assister les comptes piratés sur la plateforme.

"Ça va de 100 euros au moins jusqu'à 800, 900 euros (...), il y a beaucoup d'utilisateurs, on parle de plusieurs centaines de comptes concernés", a-t-elle précisé.

"Le modus operandi existait, mais il n'était pas aussi massif. Depuis deux jours, c'est carrément un réseau qui s'organise, avec des victimes en Espagne et en Italie", a-t-elle souligné.

Comment les escrocs ciblent leurs victimes

Selon les rapports, les attaques contre les portefeuilles en ligne des utilisateurs ne sont pas aléatoires. Les cyberescrocs ont fait preuve de diligence dans la sélection de leurs victimes en fonction des soldes des portefeuilles numériques. Une fois que les pirates identifient un compte prometteur, ils commencent leur attaque.

Certaines victimes ont déclaré avoir reçu un SMS, un e-mail ou un appel les informant qu'une demande de modification de leurs coordonnées était en cours. Il était demandé aux utilisateurs de fournir des identifiants permettant aux attaquants de s'emparer des comptes et de changer le compte bancaire associé (IBAN ou RIB) pour transférer des fonds dans un autre compte appartenant au voleur.

Les autres utilisateurs ne sont pas tombés dans le piège d'une tentative de phishing (hameçonnage). Les fraudeurs ont réussi à prendre le contrôle de leurs comptes (éventuellement via un bourrage d'informations d'identification réussi), en modifiant le numéro de compte et en publiant du matériel pornographique sur le profil de l'utilisateur, bloquant automatiquement le compte. Avant de publier du contenu interdit, les attaquants ont réussi à transférer frauduleusement l'argent et à supprimer leur RIB.

L'enquête du Parisien a localisé l'argent volé sur des comptes bancaires en Allemagne, en Irlande et au Luxembourg.

Vinted dit qu'il remboursera les victimes

Le site de ventes de vêtements d'occasion a confirmé le piratage, soulignant que les pirates n'avaient pas violé la sécurité de la plateforme Vinted pour accéder aux noms d'utilisateur et mots de passe des victimes et que les détails de la carte de crédit ne sont pas entièrement visibles lors de l'accès aux comptes.

"Les informations de connexion utilisées (identifiants, mots de passe, etc.) ont été obtenues à partir de données consultées ailleurs, en dehors de la plateforme, et non liées à Vinted", a expliqué la société.

La plateforme est en train de restaurer l'accès aux membres qui ont été bloqués. Vinted n'a pas fourni de commentaires ou d'informations supplémentaires sur le nombre exact de personnes qui ont perdu le solde de leur portefeuille électronique, mais affirme que les utilisateurs seront éligibles à une indemnisation pour tout fonds volé.

Que doivent faire les victimes ?

Les événements récents devraient maintenir tout utilisateur Vinted en état d'alerte. Assurez-vous:

• Modifiez tous les mots de passe qui partagent les mêmes identifiants de connexion avec le compte compromis
• Surveillez vos comptes bancaires et signalez toute activité suspecte
• Examinez toute correspondance non sollicitée par e-mail, SMS ou téléphone qui vous presse à faire une action, comme fournir des codes PIN, des mots de passe et des numéros de carte de crédit
• Installez une solution de sécurité sur votre appareil pour aider à repousser le phishing et autres attaques malveillantes
• Utilisez un service de protection de l'identité numérique pour vous alerter chaque fois que vos données personnelles se retrouvent sur le dark web et vous aider à verrouiller tout problème de confidentialité ou de sécurité sur les comptes en ligne existants

Bitdefender Digital Identity Protection n'a besoin que de votre adresse e-mail et de votre numéro de téléphone pour vérifier toute violation et fuite de données contenant des informations personnelles exposées et d'autres informations clés liées à votre identité numérique.

Devenir membre de la communauté de l'identité numérique vous apportera :

• une cartographie instantanée de votre identité numérique
• votre historique de violation contenant une liste complète des organisations qui ont révélé vos coordonnées et le type d'informations personnelles qui ont été exposées
• des alertes lorsque vous êtes impliqué dans une nouvelle violation
• la surveillance continue de vos données personnelles (email, mots de passe, cartes de crédit)
• les étapes recommandées à suivre pour chacun de vos comptes exposés à une violation de données