Le procédé est simple, mais il fait de plus en plus de victimes, et celui qui vend quelque chose sur une plateforme de petites annonces risque non seulement de se faire escroquer l’objet qu’il vend, mais aussi de perdre ses données personnelles. En l'espace d'un an, le nombre de signalements de phishing auprès du gouvernement a été multiplié par cinq, passant de moins de 50 à plus de 250 par mois.
Cela paraît vrai!
Voici comment arrive une escroquerie au travers des petites annonces. «Les fraudeurs proposent à la victime d'utiliser une méthode de paiement d'une entreprise bien connue, généralement la Poste, et lui envoient un lien sur lequel elle doit cliquer pour récupérer l'argent», explique l'Office fédéral de la cybersécurité (OFCS).
Le site frauduleux paraît sérieux, copiant parfois même le prix et la photo de l'annonce. Le piège se referme alors immédiatement, car quiconque saisit ses données de carte de crédit, son code Twint ou ses identifiants de banque en ligne les transmet directement aux cybercriminels.
Lorsque l'on entre ses informations bancaires, la page de connexion de l'institution bancaire apparaît, de manière extrêmement crédible. Si la victime entre son nom d'utilisateur et son mot de passe, elle est invitée à ne pas fermer la fenêtre pendant que le véritable processus de connexion se lance en arrière-plan.
«Les fraudeurs se connectent et retiennent la victime», précise l'OFCS. Peu après, un faux appel ou une fenêtre de chat du «support» demande un code de sécurité. Ici idem: celui qui le transmet ouvre la porte de son accès bancaire aux escrocs.
Le même procédé fonctionne avec Twint
Quelques informations suffisent pour transférer le compte vers un autre appareil. Si l'on transmet son numéro de téléphone, son code Twint et un code SMS, on perd son compte. Si quelque chose tourne mal, les fraudeurs ont même un plan B: ils redirigent la victime vers un autre site web qui demande des informations de carte de crédit, c'est un «plan de secours», selon l'OFCS.
Comment se protéger? Celui qui doit recevoir de l'argent ne doit jamais transmettre ses identifiants de connexion ou ses données de carte bancaire, insiste l'office. Il est conseillé de ne jamais cliquer sur des liens dans des messages suspects et de ne jamais transmettre un code reçu par SMS, et il est préférable d'envoyer des marchandises uniquement lorsque l'argent a effectivement été crédité sur le compte.
Quelle preuve?
De plus, des soi-disant confirmations par e-mail de la banque ou de la Poste ne sont pas une preuve, seul le solde de son propre compte fait foi. Par ailleurs, il faut se méfier si l'acheteur propose de payer plus que le prix convenu.
Les plateformes de petites annonces ne sont pas fondamentalement dangereuses. Cependant, elles sont publiques, rapides et anonymes, ce qui en fait un terrain de chasse idéal pour les cybercriminels. En gardant cela à l'esprit et en restant vigilant, on se donne déjà plus de chance d'éviter les escrocs.
