Nicole P.*, une mère célibataire du canton de Zoug, a vécu une triste période: peu après avoir perdu son emploi dans l'informatique au mois d'octobre, des escrocs de Twint lui ont soutiré 3000 francs.
Tout a commencé par une annonce gratuite sur le portail de petites annonces Tutti. Nicole P. voulait juste vendre un ancien sac d'école afin d'augmenter l'argent de poche de son enfant.
Manipulation d'un code QR
Le 16 octobre, une prétendue acheteuse intéressée du nom d'Eva s'est manifestée via la plateforme et a demandé à Nicole P. de passer sur Whatsapp pour la suite de la communication. Dans l'historique du chat, que Blick a pu consulter, Eva demandait si Nicole P. pouvait lui envoyer le sac à dos par la poste, car elle habitait soi-disant dans l'Oberland bernois: «Je vais à la poste, je paie tout, y compris l'expédition, et je t'envoie la facture», écrit Eva.
Plus tard, elle a envoyé à Nicole P. une photo d'un récépissé de la poste, établi à Brienz (BE). Elle aurait déjà payé le sac à dos et l'envoi. Grâce au code QR qui y figure, Nicole P. pourrait réclamer l'argent.
La femme de 44 ans a examiné le reçu en détail, puis l'a scanné avec l'appareil photo de son téléphone portable. C'est là que la fourberie se cachait: le code QR avait été manipulé. Elle est ainsi arrivée sur un faux site Internet de la Poste. «Le lien semblait tout à fait fiable, sinon j'aurais tout de suite abandonné», raconte cette informaticienne expérimentée.
Un mauvais pressentiment
Un message d'un prétendu collaborateur du service d'assistance aurait d'abord surgi, indiquant qu'elle recevrait une étiquette spéciale pour l'envoi de la marchandise. Nicole P. a continué à cliquer jusqu'à ce qu'elle doive saisir son code Twint à la dernière étape pour obtenir un prétendu crédit. Elle a confirmé.
La Suissesse a ensuite informé Eva, l'acheteuse présumée, par Whatsapp qu'elle déposerait le sac à dos à la poste le lendemain. Eva l'a remercié. Ce que Nicole P. ne savait pas encore à ce moment-là, c'est qu'en arrière-plan, les transactions frauduleuses battaient déjà leur plein.
Malgré ces échanges cordiaux, Nicole P. est devenue sceptique. «J'avais un drôle de pressentiment», dit-elle. Pour en avoir le cœur net, elle a ouvert son e-banking. Et là, c'est le choc: en quelques minutes, elle a été débitée de 3000 francs via Twint. Les destinataires: un numéro de portable suisse et le prestataire de services pour les paiements en ligne «Paysafecard». Nicole P. suppose que l'argent a été directement transféré à l'étranger par ce biais.
Selon Tobias Bolzern, expert en numérique pour Blick, les Paysafecards sont des moyens de paiement prépayés anonymes qui peuvent être utilisés sans compte bancaire ou carte de crédit. Elles fonctionnent avec un code de valeur et sont donc très appréciées des escrocs. Il recommande de ne jamais divulguer ses données d'accès personnelles. «La prudence est généralement de mise lorsqu'on scanne des codes QR», ajoute Tobias Bolzern.
La banque et l'assurance réfutent toute responsabilité
Lorsque la Zougoise a constaté la fraude, elle a immédiatement fait bloquer son compte Twint et ses cartes bancaires via le numéro d'urgence de la banque. Ce n'est que le lendemain qu'elle a pu bloquer son compte par téléphone, via la banque elle-même. «Je n'aurais jamais pensé me faire avoir de la sorte», explique l'informaticienne.
Nicole P. a par la suite porté plainte auprès de la police de Zoug. «Après de nombreuses nuits blanches et plus de 15 e-mails envoyés à la banque, à Twint et à Paysafecard, j'espère récupérer mon argent.» Comme elle a violé son devoir de diligence en entrant son code Twint, l'enquête de la police est sans doute son seul espoir. La banque et l'assurance de Nicole P. refusent toutes deux d'assumer leur responsabilité.
«Les banques doivent prendre plus de mesures de sécurité pour Twint, déplore Nicole P. En cas de transactions inhabituelles ou répétées plusieurs fois, il faudrait au moins demander une autorisation supplémentaire.» Elle critique également la communication entre le système de paiement Twint et les banques. Selon elle, il devrait y avoir un interlocuteur central pour les cas de fraude: «Je me suis sentie perdue au milieu de tous ces services différents.»
Une technique maintenant bien connue
L'escroquerie aux fausses quittances postales est aujourd'hui bien connue de la plateforme d'annonce et d'information Cybercrime Police, gérée par la police cantonale de Zurich. Elle avait déjà lancé une mise en garde au mois d'avril.
«En Suisse, les cybercriminels utilisent souvent à leur profit de véritables institutions dans lesquelles la population a une grande confiance. Comme dans ce cas, la Poste», explique Tobias Bolzern. Selon lui, on peut se protéger de la fraude en utilisant par exemple les messages push de l'application Twint pour chaque transaction ou en fixant des limites journalières et hebdomadaires basses.
L'expert conseille en outre de toujours rester sur les plateformes de vente respectives et de ne pas passer par Whatsapp ou d'autres plateformes de chat. Il souligne: «Ceux qui poussent à le faire sont rarement bien intentionnés.»
*Nom connu de la rédaction
