Comment détecter et éviter les arnaques en ligne au Sénégal

Pourquoi le Sénégal est une cible privilégiée des arnaqueurs en ligne ?

Mobile money omniprésent (Wave, Orange Money) + adoption rapide d’Internet + faible répression locale = combinaison idéale pour les fraudeurs. La perte annuelle des Sénégalais à cause des arnaques en ligne dépasse plusieurs milliards de FCFA, dont 80 % via WhatsApp et SMS. Apprendre à détecter une arnaque en 10 secondes (URL, urgence, demande de PIN) est désormais aussi essentiel que savoir lire — c’est la compétence numérique n°1 de 2026.

Ce que vous saurez faire

1. 10 arnaques courantes Sénégal
2. Vérifier URL/numéro
3. 2FA partout
4. Réagir à une arnaque

Étape 1 — 10 arnaques

1. SMS Wave/OM "Erreur paiement"
2. Faux agent Wave demandant PIN
3. Arnaque CEO (email usurpant dirigeant)
4. Fausses offres emploi Canada/Europe
5. Sites e-commerce fictifs prix canon
6. Faux sites Senelec/SDE
7. Romance scam dating
8. Crypto/trading rapide
9. QR codes malveillants
10. Taxi GPS trafiqué

Étape 2 — Signaux alerte

❌ Urgence artificielle "Compte bloqué 2h"
❌ Lien raccourci (bit.ly)
❌ Demande PIN/OTP
❌ Expéditeur: wave-support@gmail.com
❌ Orthographe approximative
❌ Montants inhabituels
❌ "Renvoyez par erreur"

Étape 3 — Vérifier Wave/OM

Wave: UNIQUEMENT N° officiel commerçant affiché en boutique.
JAMAIS N° reçu par SMS/WhatsApp.

OM: vérifier nom qui s'affiche. Écart = ANNULER.

Rappeler 212 (Wave) ou 5000 (OM) en cas doute.

Étape 4 — Analyser URL

whois suspect-domain.sn
# Créé hier = méfiance max

curl -s -I 'https://bit.ly/XXX' | grep -i location

curl -s "https://www.virustotal.com/api/v3/urls" \
  -H "x-apikey: $VT_KEY" \
  -d "url=https://suspect.sn"

Étape 5 — Protéger mots de passe

JAMAIS donner:
- Code PIN Wave/OM
- OTP SMS
- Mot de passe compte
- CVV carte
- Photo CNI à "recruteur"

Aucun établissement ne demande mdp par mail/SMS/tel.

Étape 6 — Vérifier e-commerce

openssl s_client -connect example.sn:443 -showcerts < /dev/null 2>/dev/null \
  | openssl x509 -noout -issuer -subject -dates

whois example.sn | grep creation
# Scamadviser.com + TrustPilot

Étape 7 — 2FA partout

2FA APP (pas SMS):
- Authy, Google Authenticator, 1Password
- SIM swap fréquent → SMS non fiable

WhatsApp: Paramètres > Compte > 2FA PIN 6 chiffres
Apple ID: Connexion et sécurité > 2FA
Gmail: Sécurité > Validation en 2 étapes

Étape 8 — Gestionnaire mdp

1Password (5,99 USD/mo) ou Bitwarden (gratuit)
Mot de passe fort unique par site
Mobile: empreinte, sync cloud E2E

Étape 9 — Réagir à arnaque

1. Contacter Wave 212 / OM 5000 / banque
2. Changer tous mdp compromis
3. Alerter cert.sn
4. Plainte DSCOS Dakar
5. Conserver preuves (screenshots)
6. Prévenir entourage

Étape 10 — Hygiène numérique

✓ Gestionnaire mdp + 2FA app
✓ Sauvegarde cloud E2E
✓ Téléphone à jour (patchs)
✓ Antivirus (Defender Windows)
✓ VPN WiFi public
✓ Règle famille "appeler avant envoyer"

Erreurs fréquentes

1. Faire confiance au nom affiché sur Wave/OM

Cause : on voit « Marie Diop » dans le SMS Wave et on paie. Le pirate a juste créé un compte au nom de votre commerçant pour exploiter la confiance.

Solution : appelez le commerçant (numéro affiché en boutique, pas celui reçu par SMS) avant tout paiement > 10 000 FCFA. Pour Wave, vérifiez aussi le QR code physique en boutique.

2. 2FA SMS au lieu de 2FA application

Cause : les SMS sont vulnérables au SIM swapping — fraude bien documentée chez Orange et Free Sénégal. Le pirate obtient une SIM dupliquée et reçoit vos codes 2FA.

Solution : 2FA via application (Authy, Google Authenticator, Aegis Authenticator, 1Password). Réservez le 2FA SMS uniquement aux services qui n’offrent pas d’alternative.

3. Cliquer sur le lien d’un faux SMS opérateur

Cause : SMS « Orange : votre forfait expire, cliquez ici pour renouveler ». Le lien mène à un faux site Orange qui demande votre numéro et code PIN.

Solution : les opérateurs ne vous envoient JAMAIS de lien SMS pour renouveler. Composez les codes USSD officiels (#144# Orange, #555# Free) ou utilisez l’app Orange/Free.

4. Donner sa CNI à un « recruteur » Canada/Europe

Cause : « Pour valider votre dossier d’embauche au Canada, envoyez photo CNI + relevé bancaire ». Le scammeur ouvre des comptes bancaires/Wave en votre nom.

Solution : aucune entreprise sérieuse ne demande votre CNI avant un contrat signé. Vérifiez le recruteur sur LinkedIn (compte > 1 an, vraie entreprise) et demandez un entretien vidéo.

5. Confiance dans les certificats HTTPS sur les faux sites

Cause : on voit le cadenas vert et on conclut que le site est légitime. Or n’importe quel arnaqueur peut obtenir un certificat Let’s Encrypt en 5 minutes pour son domaine « senelec-paiement.com ».

Solution : HTTPS prouve que la connexion est chiffrée, pas que le site est honnête. Vérifiez toujours le domaine exact (senelec.sn, pas senelec-paiement.com). Pour les sites < 6 mois, redoublez de prudence (whois suspect-site.sn).

Dans la continuité

• Créer des mots de passe inviolables — la base de la défense.
• Protéger votre WhatsApp — vecteur n°1 des arnaques au Sénégal.
• Configurer la 2FA partout — applique l’étape 7.
• Reconnaître un email de phishing — la version mail des arnaques SMS.
• Signalement : CERT-SN (Computer Emergency Response Team du Sénégal) pour les incidents cyber.
• Outils : VirusTotal et Scamadviser pour vérifier un site suspect.

Pourquoi le Senegal est devenu une cible privilegiee des arnaques en ligne en 2025-2026

L’OFNAC et la Brigade speciale de lutte contre la cybercriminalite (BSLC) de la Direction generale de la Police nationale ont enregistre une hausse continue des plaintes pour fraude numerique entre 2023 et 2025. La combinaison taux de bancarisation modeste (autour de 23 %) et taux de penetration mobile money tres eleve (Wave, Orange Money, Mixx by Yas qui a remplace Free Money) cree un terrain ideal pour des escrocs qui ciblent un transfert instantane et irreversible. Ce tutoriel pas-a-pas te donne les reflexes concrets pour detecter, eviter et signaler ces arnaques.

Etape 1 : Reconnaitre les 5 schemas d’arnaque les plus frequents au Senegal

Avant de te defendre, sache ce que tu cherches. Les cinq schemas qui representent l’essentiel des plaintes : (1) faux service client Wave/Orange Money qui te demande ton code OTP pour « rembourser une erreur », (2) faux recruteur Dubai/Canada qui exige 50 000 a 200 000 FCFA de frais de visa avant tout entretien, (3) fausse boutique Facebook qui vend un iPhone a 95 000 FCFA contre acompte Wave, (4) faux pasteur ou marabout virtuel qui promet la baraka contre un transfert mobile money, (5) sextorsion par chantage video apres une discussion en visio sur Instagram ou Telegram.

Résultat attendu : si une demande que tu recois colle a un de ces cinq schemas, traite-la comme une arnaque jusqu’a preuve du contraire.

Etape 2 : Verifier l’identite du correspondant avant tout transfert

La regle d’or : aucun service client legitime (Wave, Orange Money, Mixx by Yas, La Poste, banque) ne te demandera jamais ton code OTP, ton mot de passe ou les 4 derniers chiffres de ton CNI par WhatsApp ou par appel. Si on te le demande, raccroche immediatement.

Pour verifier un numero qui t’appelle, ouvre l’application officielle de l’operateur, va dans Aide > Nous contacter, et compare le numero affiche avec celui qui t’a appele. Wave Senegal communique uniquement via le 6500 et l’application, jamais depuis un numero personnel +221 77 ou +221 78. Output : si le numero ne correspond pas, bloque-le et signale-le.

Etape 3 : Tester l’authenticite d’un site marchand avant de payer

Trois verifications en moins de 60 secondes. Premiere : lis le nom de domaine caractere par caractere. Les escrocs utilisent jumla-sn.com au lieu de jumia.sn, ou wave-pay.net au lieu de wave.com. Deuxieme : verifie l’age du domaine sur le service whois.domaintools.com. Un domaine cree il y a moins de 30 jours est statistiquement suspect. Troisieme : tape le nom de la boutique suivi de « avis » sur Google et regarde si Trustpilot, Reddit ou un forum francophone signale des problemes.

Ce que vous devez voir : si l’un des trois tests echoue, ne paie pas. Cherche le meme produit chez un commercant verifie (Jumia, Cdiscount, Auchan Direct).

Etape 4 : Activer la double authentification sur tous tes comptes sensibles

Active la 2FA via application (Google Authenticator, Aegis sur Android, Raivo sur iOS) sur ton email principal, ton compte Facebook, Instagram, WhatsApp Business, ton compte mobile money si l’operateur le propose, et tous tes comptes bancaires en ligne. Evite la 2FA par SMS quand l’option TOTP existe : le SMS peut etre intercepte par swap SIM (echange frauduleux de carte SIM en agence avec faux papiers), pratique documentee au Senegal sur des montants superieurs a 5 millions FCFA.

Pour chaque compte, exporte le code de recuperation et imprime-le sur papier que tu ranges dans un endroit sur. Output : meme si on te vole ton telephone, tu peux recuperer tes acces depuis un autre appareil avec le code papier.

Etape 5 : Detecter les emails et SMS de phishing

Quatre signaux qui doivent declencher l’alerte. Premier : l’expediteur affiche un nom commercial mais l’adresse derriere est une suite de caracteres aleatoires (noreply@a3f7g9.com au lieu de noreply@orange.sn). Deuxieme : le message cree une urgence artificielle (« votre compte sera bloque sous 24 heures »). Troisieme : il contient un lien raccourci (bit.ly, tinyurl) vers une page de connexion. Quatrieme : il y a des fautes d’accent ou un francais maladroit (« vottre compte a ete suspandu »).

Pour verifier un lien suspect sans cliquer, copie-le et colle-le dans urlscan.io ou virustotal.com. Output : ces deux services t’indiquent en moins de 30 secondes si le domaine cible est marque comme phishing connu.

Etape 6 : Securiser ton compte mobile money en 4 actions

Action 1 : change ton code PIN tous les 3 mois et n’utilise jamais ta date de naissance ni 1234. Action 2 : active les notifications push de l’application officielle et lis chaque alerte de transaction des qu’elle arrive. Action 3 : fixe un plafond journalier de transfert qui correspond a ton usage reel (souvent 200 000 FCFA suffit pour un particulier). Action 4 : si tu perds ton telephone, appelle le service client (1441 pour Orange, 6500 pour Wave) dans l’heure pour bloquer ta SIM, puis depose plainte au commissariat dans les 24 heures.

Sortie attendue : meme en cas de vol, ton expose financier reste limite au plafond journalier et tu disposes du recepisse de plainte indispensable pour toute reclamation.

Etape 7 : Reagir si tu as deja ete victime

Cinq gestes a faire dans l’ordre, dans les 24 premieres heures. Geste 1 : appelle ton operateur mobile money pour bloquer ton compte et tracer la transaction sortante. Geste 2 : porte plainte a la BSLC (Brigade speciale de lutte contre la cybercriminalite) au siege a Dakar ou en ligne via le portail officiel de la Police nationale. Geste 3 : depose une seconde plainte au commissariat de ton quartier pour avoir un recepisse local. Geste 4 : signale l’arnaqueur sur la plateforme PHAROS du gouvernement francais si l’arnaqueur opere depuis l’Europe, et sur le site internet-signalement.gouv.fr. Geste 5 : previens publiquement ton entourage via un statut WhatsApp ou un post Facebook pour eviter que d’autres tombent dans le meme piege.

Output : meme si la recuperation des fonds est rare, le recepisse de plainte permet d’enclencher une procedure de remboursement aupres de ta banque ou de ton operateur si l’enquete prouve la negligence du prestataire.

Etape 8 : Sensibiliser tes proches et tes employes

Les arnaqueurs ciblent en priorite les personnes agees, les commercants qui font beaucoup de transferts mobile money quotidiens, et les jeunes en recherche d’emploi. Organise une session courte de 30 minutes avec tes parents, tes employes ou ton equipe : presente les 5 schemas de l’etape 1, fais leur tester les verifications de l’etape 3 sur un faux site, et imprime un memo recapitulatif a coller pres de la caisse pour les commercants.

Pour étoffer le tableau sur la securite numerique professionnelle, lis aussi notre tutoriel sur l’analytics respectueux de la vie privee et le guide blog qui genere des revenus pour apprendre a monetiser ton expertise sans tomber dans les pieges des programmes douteux.

Etape 9 : Auditer ton hygiene numerique tous les 3 mois

Trois fois par an, bloque 45 minutes pour passer ton hygiene numerique au crible. Premiere verification : ouvre haveibeenpwned.com, saisis chacune de tes adresses email, et change immediatement le mot de passe de tout service qui apparait dans une fuite recente. Deuxieme : passe en revue les applications connectees a ton compte Google et a ton Facebook (parametres de securite, applications tierces) et revoque tout ce que tu n’utilises plus depuis 6 mois. Troisieme : dans ton application mobile money, consulte l’historique des 90 derniers jours et reagis dans la journee a toute transaction que tu ne reconnais pas.

Quatrieme verification, plus profonde : installe un gestionnaire de mots de passe libre comme Bitwarden ou KeePassXC, importe tes mots de passe stockes dans Chrome ou Safari, lance l’audit integre qui detecte les mots de passe faibles ou reutilises, puis remplace les 10 plus exposes en priorite. Résultat type : a chaque audit trimestriel, tu reduis de moitie le nombre de comptes a risque et tu transformes la cybersecurite d’une corvee episodique en une routine fluide qui prend moins d’une heure par an.