Phishing Trendyol et Hepsiburada : comment reperer les arnaques shopping en Turquie
Protegez-vous des attaques de phishing ciblant les acheteurs Trendyol et Hepsiburada. Apprenez a identifier les faux SMS de livraison, les pages de paiement contrefaites et les arnaques au service client.
Phishing Trendyol et Hepsiburada : comment reperer les arnaques shopping en Turquie
Le marche du e-commerce en Turquie a explose ces dernieres annees, Trendyol et Hepsiburada traitant des millions de commandes quotidiennement. Cet enorme volume de transactions a cree un terrain fertile pour les escrocs de phishing qui usurpent l'identite de ces plateformes pour voler des informations de paiement, des identifiants et des donnees personnelles.
Si vous faites des achats en ligne en Turquie, vous etes une cible. Voici comment ces arnaques fonctionnent et comment vous en proteger.
Les principales tactiques de phishing e-commerce
1. Faux SMS de livraison (Sahte Kargo SMS)
Le vecteur d'attaque le plus courant. Vous recevez un SMS du type : "Trendyol siparisininiz kargoya verildi. Takip icin tiklayin: [lien-malveillant]." Le lien mene a une fausse page de suivi qui demande vos coordonnees de carte bancaire pour payer des "frais de douane" ou un "supplement de livraison".
Ces messages se multiplient lors des grands evenements commerciaux comme le 11.11 (Journee des Celibataires), le Black Friday et les promotions Efsane Cuma.
2. Pages de paiement contrefaites
Les escrocs creent des repliques parfaites des pages de paiement de Trendyol et Hepsiburada. Les victimes y arrivent par :
- Des publicites sur les reseaux sociaux avec des offres "trop belles pour etre vraies"
- Des annonces Google apparaissant au-dessus des resultats de recherche legitimes
- Des e-mails de phishing avec des liens de "confirmation de commande"
3. Faux comptes de service client
Lorsque des acheteurs postent des plaintes sur les reseaux sociaux, les escrocs repondent depuis des comptes imitant le support officiel. Ils proposent de "resoudre" le probleme en demandant des numeros de commande, des donnees personnelles et meme des informations bancaires.
4. Fausses vitrines de vendeurs
Sur les plateformes marketplace, les escrocs creent des boutiques avec des images de produits volees et des prix derisoires. Une fois le paiement effectue, le "vendeur" disparait. Certains envoient meme des colis vides ou des articles aleatoires pour generer un numero de suivi valide.
Comment identifier les URLs legitimes vs. fausses
C'est la competence la plus importante pour eviter le phishing e-commerce :
| Verification | Legitime | Suspect |
|---|---|---|
| Domaine | trendyol.com, hepsiburada.com | trendyol-siparis.com, hepsiburada-kargo.net |
| Protocole | Toujours HTTPS | Peut manquer HTTPS ou avoir des avertissements de certificat |
| Chemin URL | Chemins propres comme /orders/detail | Chaines aleatoires, parametres excessifs |
| Redirections | Navigation directe | Multiples redirections avant d'arriver |
| Certificat | Valide, emis au nom de l'entreprise | Auto-signe ou emis a une entite inconnue |
Etapes rapides de verification d'URL
- Ne cliquez pas sur les liens dans les SMS ou e-mails. Ouvrez directement l'application Trendyol ou Hepsiburada.
- Verifiez attentivement le domaine. Les escrocs utilisent des astuces comme trendyo1.com (chiffre "1" au lieu de la lettre "l") ou hepsiiburada.com (double "i").
- Attention aux caracteres turcs. Certains faux domaines utilisent des caracteres comme "i" ou "o" de maniere a ressembler au vrai domaine dans la barre du navigateur.
- Utilisez l'application officielle. Si vous recevez une notification concernant une commande, verifiez-la via l'application officielle, pas via un lien.
Anatomie d'une attaque de phishing
Voici le deroulement etape par etape d'une attaque de phishing typique Trendyol :
- Appat : La victime recoit un SMS sur une "livraison echouee" pendant une periode ou elle a reellement des commandes en cours
- Clic : Le lien ouvre une page convaincante aux couleurs de Trendyol
- Collecte : La page demande les identifiants de connexion pour "verifier le statut de la commande"
- Escalade : Apres la connexion, elle demande les coordonnees bancaires pour des "frais de relivraison" de 9,99 TL
- Pillage : Les escrocs utilisent les identifiants et informations de carte voles pour effectuer des achats ou revendre les donnees
Calendrier saisonnier des arnaques
Les tentatives de phishing suivent le calendrier commercial turc :
| Periode | Evenement | Type d'arnaque courant |
|---|---|---|
| Janvier | Soldes d'hiver (Kis Indirimleri) | Faux liens de reduction |
| Mars | Campagnes de la Journee de la Femme | Fausses offres de cartes cadeaux |
| Juin-Juillet | Soldes d'ete (Yaz Indirimleri) | Pages de paiement contrefaites |
| Aout | Rentree scolaire | Fausses notifications de livraison |
| Novembre | Black Friday / Efsane Cuma | Tous les types s'intensifient 3 a 5 fois |
| Decembre | Shopping du Nouvel An | Fausses confirmations de commande |
Proteger votre compte et vos informations de paiement
Activer toutes les fonctionnalites de securite
- Trendyol : Activer l'authentification a deux facteurs, configurer les alertes de connexion, utiliser le portefeuille integre pour les paiements
- Hepsiburada : Activer les fonctionnalites de securite Premium, utiliser le systeme de paiement de Hepsiburada (HepsiPay), configurer les preferences de notification
Utiliser des cartes de credit virtuelles
De nombreuses banques turques (Garanti BBVA, Isbank, Yapi Kredi) proposent des services de cartes de credit virtuelles. Generez un numero temporaire avec une limite de depenses pour les achats en ligne. Meme si le numero est vole, les degats sont limites.
Verifier vos moyens de paiement enregistres
Verifiez et supprimez periodiquement les moyens de paiement inutilises de vos comptes e-commerce. Moins il y a de cartes enregistrees, plus la surface d'attaque est reduite.
Que faire si vous avez clique sur un lien de phishing
Si vous pensez avoir saisi vos identifiants sur un faux site :
- Changez votre mot de passe immediatement sur le vrai site Trendyol/Hepsiburada
- Contactez votre banque pour faire opposition sur votre carte si vous avez saisi des informations de paiement
- Activez le 2FA si ce n'est pas deja fait
- Verifiez votre historique de commandes pour reperer tout achat non autorise
- Signalez l'URL de phishing au support Trendyol/Hepsiburada et a l'USOM (Centre National de Reponse aux Incidents Cyber)
- Deposez une plainte (e-Devlet ou commissariat local)
Partager les informations de commande et de paiement en toute securite
De nombreux utilisateurs turcs partagent les details de commande, numeros de suivi et confirmations de paiement par WhatsApp ou SMS lorsqu'ils coordonnent des achats pour leurs proches. Cela cree une trace d'informations sensibles qui peut etre exploitee.
Lorsque vous devez partager des identifiants de commande, des details de suivi ou des confirmations de paiement, utilisez LOCK.PUB pour creer un memo protege par mot de passe. Le destinataire saisit le mot de passe pour consulter l'information, et vous pouvez configurer une expiration automatique apres consultation. Aucune donnee sensible ne reste dans les historiques de conversation.
Developper des habitudes d'achat resistantes aux arnaques
La meilleure defense est une routine constante :
- Ajoutez en favoris les vraies URLs de Trendyol et Hepsiburada et naviguez toujours depuis vos favoris
- Installez les applications officielles uniquement depuis le Google Play Store ou l'Apple App Store
- Ne saisissez jamais d'informations de paiement sur une page atteinte via un lien dans un SMS ou un e-mail
- Verifiez toutes les offres via l'application officielle avant d'agir sur un message promotionnel
- Utilisez des outils de partage protege par mot de passe comme LOCK.PUB plutot que du texte brut pour envoyer des informations sensibles
Les escrocs de phishing comptent sur votre precipitation. Ralentissez, verifiez et protegez votre vie d'achat numerique.
Achetez malin, restez en securite. En cas de doute sur un lien, ne cliquez pas — allez directement sur l'application.
Mots-clés
À lire aussi
Prevention du phishing e-Devlet : comment proteger votre compte gouvernemental turc
Apprenez a identifier et eviter les arnaques de phishing ciblant les utilisateurs d'e-Devlet (portail gouvernemental turc). Protegez vos identifiants contre les faux avis de suspension de compte et les attaques de vol de credentials.
Phishing fiscal GIB en Turquie : comment reperer les faux e-mails et portails fiscaux
Apprenez a identifier les attaques de phishing usurpant l'identite du GIB (Gelir Idaresi Baskanligi), y compris les faux e-mails de remboursement fiscal, les faux portails e-beyanname et les arnaques saisonnieres.
Prevention de la fraude Papara : comment se proteger des arnaques fintech en Turquie
Apprenez a reperer et eviter les arnaques Papara en Turquie, y compris les fausses offres de cashback, les liens de phishing et la fraude aux transferts crypto. Check-list de securite complete pour les utilisateurs Papara.
Créez votre lien protégé par mot de passe maintenant
Créez gratuitement des liens protégés, des notes secrètes et des chats chiffrés.
Commencer Gratuitement