Une faute de frappe et l'argent s'envole, voire le compte entier. L'Office fédéral de la cybersécurité (OFCS) met actuellement en garde contre trois nouveaux types d'escroquerie, avec lesquels des malfrats cherchent à piéger les utilisateurs de Twint.
Tous les cas connus sont liés à des escroqueries via des petites annonces, l'un des délits les plus fréquents signalés à la police. «Les escrocs y voient un business lucratif, c'est pourquoi il y a toujours de nouvelles tentatives d'escroquerie», explique l'office fédéral.
Détournement d'un compte Twint
Ce cas signalé à l'OFCS montre l'ingéniosité des escrocs. Un homme a proposé une console de jeu sur une plateforme de petites annonces. Un acheteur intéressé s'est alors manifesté, proposant Twint comme mode de paiement et demandant son numéro. «Peu après avoir accepté l'offre, le vendeur a reçu un SMS prétendant que le paiement avait été effectué avec succès», écrit l'OFCS. Pour confirmer la réception et recevoir l'argent, le vendeur devait toutefois cliquer sur un lien qui menait à une prétendue page d'assistance du portail de petites annonces où un dialogue trompeur est apparu.
Astuce particulièrement audacieuse: Le vendeur a été informé qu'il y avait de plus en plus de tentatives d'escroquerie. Il a donc dû répondre à quelques questions de sécurité pour autoriser le paiement. Le vendeur a alors indiqué son nom, sa date de naissance, son NIP Twint, son numéro de carte de débit et les cinq derniers chiffres de son IBAN. Puis, la victime a reçu un code par SMS, qu'elle a dû insérer. Mais ce qu'elle ne savait pas, c'est qu'elle fournissait aux escrocs toutes les informations nécessaires pour prendre possession de son compte. Au lieu de recevoir l'argent, le vendeur a reçu une notification indiquant qu'un nouveau numéro de téléphone avait été associé à son compte. Peu après, les premiers prélèvements ont commencé.
La double fraude via Twint
Avec une autre technique, les malfrats ambitionnent d'escroquer leurs victimes à deux reprises. Selon l'OFCS, les escrocs exigent souvent un paiement anticipé sur les plateformes de petites annonces, mais ne livrent ensuite aucune marchandise. Dans un cas récent, les malfaiteurs ont tenté d'en tirer encore plus.
Après le paiement, le prétendu vendeur a recontacté l'acheteur en affirmant que le colis avait été endommagé lors de l'expédition. «Ils ont expliqué qu'ils prendraient en charge les dommages et qu'ils rembourseraient l'argent via Twint», indique l'OFCS. Mais au lieu de rembourser la somme, les escrocs ont réclamé le montant via une application. «Si la victime ne fait pas attention et ne clique pas sur 'accepter', elle se fait doublement escroquer», prévient l'office.
A noter: dans l'application Twint, la réception d'argent ne doit jamais être confirmée activement. L'année dernière déjà, la police cantonale zurichoise avait mis en garde contre cette arnaque de demande de remboursement.
l'escroquerie au QR code
Autre variante, le prétendu vendeur contacte à nouveau l'acheteur. Il prétend qu'un autre acheteur potentiel s'est présenté et qu'il est prêt à payer un prix plus élevé. Sous prétexte de rembourser à la fois le prix d'achat initial et un montant supplémentaire pour frais généraux, la victime est invitée à scanner un code QR. «Celui-ci n'a toutefois rien à voir avec un remboursement, mais déclenche au contraire un paiement auprès d'une boutique. Les escrocs tentent généralement d'obtenir ainsi des bons d'achat», explique l'OFCS.
Le montant du préjudice
L'OFCS ne peut pas donner de chiffre précis sur les fraudes aux petites annonces via Twint, car tous les messages à ce sujet sont enregistrés dans la catégorie des fraudes aux petites annonces. Dans cette catégorie, 145 messages au total ont été reçus cette année jusqu'au 29 février. Selon Bacs, les montants maximums débités se situent dans une fourchette élevée à trois chiffres.
Ce que dit Twint
En tant qu'exploitant du système de paiement, Twint surveille toutes les transactions afin de détecter et d'empêcher les attaques. «Nous sommes en contact régulier – également avec les autorités policières cantonales – afin de garantir les normes de sécurité les plus élevées possibles, explique la porte-parole Demet Biçer. Elle précise: Nous n'avons pas connaissance de cas ou de demandes dans lesquels l'application Twint aurait été techniquement compromise ou piratée.»
Selon elle, une reprise de compte par des tiers n'est possible que si les utilisateurs transmettent leurs données d'accès sensibles. «Ce problème ne concerne toutefois pas uniquement Twint, mais s'applique aussi à d'autres moyens de paiement», ajoute la porte-parole.
Selon elle, Twint est aussi sûr que les autres moyens de paiement numériques et l'e-banking. «Toutes les transactions effectuées avec Twint peuvent être suivies. Si les clients n'acceptent pas une transaction, ils peuvent déposer une réclamation», explique Demet Biçer. Ce processus est mis à la disposition des utilisateurs. La porte-parole renvoie au site et sa page sur les conseils de sécurité.
Voici comment se protéger!
Dans ce contexte, l'OFCS a publié des mesures de sécurité visant à se protéger contre une fraude liée aux petites annonces et à Twint.
- Être prudent lorsque l'on interagit avec des personnes inconnues sur des plateformes en ligne.
- Ne pas transmettre des codes reçus par SMS, e-mail ou téléphone.
- Ne pas communiquer de données personnelles sur des formulaires ouverts via un lien dans un e-mail ou un message.
- Être attentif à chaque paiement et vérifier les données avant de déclencher le paiement.
- Fixer des limites sur tous les moyens de paiement en fonction de son budget.
- Ne jamais utiliser des QR codes envoyés par des inconnus.
- En cas de soupçon, arrêter immédiatement la communication et ignorer les futurs messages.
- Informer la plateforme de petites annonces ainsi que le support client de la banque. Ceux-ci peuvent bloquer les offres, les acheteurs et les vendeurs concernés.