27.02.2024 - L’arnaque aux petites annonces est l’un des cyberdélits les plus fréquemment signalés à la police. C’est une activité lucrative pour les escrocs, pour preuve la multiplication des tentatives frauduleuses. Trois nouvelles variantes portées à la connaissance de l’OFCS ces dernières semaines visent à piéger les utilisateurs de l’application de paiement TWINT.
La variante avec prise de contrôle du compte TWINT
Les acheteurs ne sont pas les seules cibles des escrocs aux petites annonces. Les vendeurs sont également dans leur ligne de mire, comme le montre un cas signalé la semaine dernière à l’OFCS. L’auteur du signalement avait mis en vente une console de jeu sur une plateforme suisse de petites annonces. Il n’a pas fallu longtemps pour que quelqu’un s’intéresse à l’offre et désire acheter l’appareil. L’acheteur souhaitait alors régler la transaction par TWINT et a demandé le numéro de téléphone du vendeur. Quelques minutes plus tard, ce dernier recevait un SMS confirmant soi-disant que le paiement avait été effectué avec succès. Pour confirmer la réception et recevoir l’argent, le vendeur devait toutefois cliquer sur un lien le redirigeant vers une prétendue page du portail de petites annonces où s’ouvrait une fenêtre de dialogue censée être celle de TWINT. Il lui fallait alors tout d’abord confirmer dans ce chat que le montant avait bien été transféré. Mais un message précisait également que les tentatives d’escroquerie s’étaient multipliées ces derniers temps et que, par conséquent, le paiement ne pouvait pas être effectué sans avoir répondu au préalable à quelques questions de sécurité.
Ce soi-disant processus de sécurité exigeait, outre le nom et la date de naissance du bénéficiaire, son code PIN TWINT, son numéro de carte de débit et les cinq derniers chiffres de son IBAN. La victime recevait ensuite un code SMS supplémentaire, qu’elle devait également saisir dans la fenêtre de dialogue pour confirmation. Après avoir transmis toutes ces informations, la victime a reçu, au lieu de l’argent, un message indiquant qu’un nouveau numéro de téléphone avait été ajouté au compte TWINT. C’est alors que les premiers prélèvements ont commencé. La victime avait donc transmis à l’escroc toutes les données de connexion et les éléments de sécurité lui permettant de se connecter à un nouvel appareil et d’effectuer par la suite des transactions.
Dans ce cas de figure, les escrocs ont probablement abusé d’une fonction qui permet, en cas de changement ou de perte d’appareil, d’associer un compte TWINT existant à un nouvel appareil et même à un nouveau numéro de téléphone. Après le téléchargement de l’application, les normes de sécurité de TWINT exigent, outre la saisie des données personnelles et du PIN TWINT, l’autorisation à deux facteurs par SMS pour rendre possible tout changement d’appareil ou de numéro. Les informations demandées par les escrocs correspondaient exactement à ce qui est nécessaire pour répondre à ces questions de sécurité. L’OFCS part donc du principe que les fraudeurs ont ici exploité une méthode dite de reboarding. Les escrocs tentent donc de soutirer à leurs victimes leurs données de connexion personnelles et leurs éléments de sécurité.
La variante avec prétendu remboursement
Les escrocs demandent souvent aux acheteurs de payer à l’avance des articles qu’ils ne livreront pas. Mais ces arnaqueurs ne se privent pas d’essayer d’obtenir davantage. Ainsi, dans un cas récent, ils ne se sont pas contentés d’un paiement anticipé. Peu de temps après, les escrocs se sont à nouveau manifestés, invoquant une mésaventure lors de l’envoi postal. En voulant envoyer le colis, celui-ci se serait cassé. Ils allaient bien sûr prendre en charge les dommages et renvoyer l’argent via TWINT. Mais au lieu de procéder au remboursement de la victime, ils ont généré une demande de paiement via la plateforme. En cliquant par mégarde sur le bouton « Accepter », la victime se fait ainsi doublement escroquer. La réception d’argent ne doit jamais être confirmée activement dans l’application TWINT.
Une autre variante avec prétendu remboursement
Dans une variante similaire, le vendeur reprend aussi contact avec l’acheteur en affirmant qu’une autre personne intéressée serait prête à payer davantage pour l’article. Bien entendu, le vendeur est disposé à rembourser le prix d’achat et à verser de surcroît une contribution pour les frais occasionnés. Pour récupérer l’argent, la victime doit alors scanner un code QR avec l’application TWINT. Le code QR envoyé n’a toutefois rien à voir avec un remboursement, mais déclenche au contraire une transaction auprès d’une boutique. Les escrocs tentent généralement d’obtenir ainsi des bons d’achat.
Mesures de précaution
- Ne transmettez en aucun cas des codes que vous avez reçus par SMS, e-mail ou téléphone.
- Ne fournissez pas d’informations personnelles sur des formulaires ouverts via un lien dans un e-mail ou un message texte.
- Soyez vigilant lorsque vous interagissez avec des personnes inconnues sur des plateformes en ligne.
- Soyez attentif à chaque paiement et vérifiez les informations avant de procéder au paiement.
- Pour tout moyen de paiement, fixez des limites en fonction de votre budget et de la sécurité du moyen de paiement. Cela vaut en particulier pour les moyens de paiement que vous utilisez en ligne (via Internet) ou sans contact.
- N’utilisez jamais de codes QR provenant de sources non fiables.
- En cas de soupçon d’intentions frauduleuses, cessez immédiatement toute communication et ignorez les futurs e-mails.
- Informez la plateforme de petites annonces de l’incident. Elle est en mesure de bloquer les offres, les acheteurs et les vendeurs concernés. Informez également l’assistance clientèle de votre banque.
Vous trouverez de plus amples informations et des consignes de sécurité directement sur le site officiel de TWINT :
Statistiques et chiffres actuels
Les annonces de la dernière semaine selon les catégories sont publiées sous:
Dernière modification 27.02.2024
