Des cybercriminels ciblent les utilisateurs suisses de Twint! Ils envoient des e-mails promettant aux destinataires un prétendu «bon de fidélité d'une valeur de 100 francs» qui semble alléchant. Mais ne vous y trompez pas, il s'agit d'un piège! Les cybercriminels ont en fait volé la visualisation contenue dans l'e-mail au site de 20min.ch.
Pour réclamer le bonus promis, les utilisateurs sont redirigés vers une page web au design de Twint où ils doivent divulguer des données personnelles telles que le nom, le numéro de téléphone et le nom de leur banque, avec une mention bien visible: «Solde CHF 100.00».
Code envoyé, compte disparu
Enfin, les victimes sont amenées à demander un code qu'elles reçoivent par SMS. Car en même temps, les escrocs tentent en arrière-plan d'associer un nouvel appareil au compte Twint à l'aide de ces indications. Dès que les escrocs ont reçu le code par SMS, ils finalisent le changement d'appareil et les victimes perdent leur accès, car Twint ne peut être actif que sur un seul appareil. Plusieurs personnes ont signalé la fraude à la police, mais aucun cas de prise de contrôle de compte n'a réussi, selon les autorités.
«Seuls des cas isolés sont connus»
Twint affirme surveiller toutes les transactions pour détecter et prévenir les attaques techniques, et ne connaît que de «rares cas isolés de prise de contrôle de comptes». La porte-parole de Twint Demet Biçer a déclaré: «Nous sommes en contact régulier – notamment avec les autorités policières cantonales – afin de garantir les normes de sécurité les plus élevées possibles.» Elle précise par ailleurs: «Nous n'avons pas connaissance de cas ou de demandes dans lesquels l'application Twint aurait été techniquement compromise ou piratée.»
Selon elle, une reprise du compte par des tiers n'est possible que si les utilisateurs divulguent leurs données d'accès personnelles. «Ce problème ne concerne toutefois pas seulement Twint, mais aussi d'autres moyens de paiement», ajoute Demet Biçer. Twint a par ailleurs rédigé des conseils de sécurité pour ses utilisateurs.
Conseils de la police
La police conseille à ceux ayant divulgué leurs données de contacter immédiatement leur banque pour bloquer le compte et de changer les mots de passe pour d'autres comptes utilisant le même mot de passe. Il est également recommandé de signaler l'incident à la police cantonale après avoir pris rendez-vous par téléphone.
Pour éviter de tomber dans de tels pièges, la police suggère d'ignorer l'email et de ne jamais cliquer sur les liens dans les emails, SMS ou similaires, car les sites web reliés peuvent être manipulés. Il est conseillé de ne jamais divulguer de données sensibles sans s'informer au préalable.