«Quand j’ai reçu un nouvel e-mail de PayPal me demandant de payer un supplément de 1350 fr., en plus des 450 fr. déjà versés, je me suis dit que quelque chose ne jouait pas», relate Raphael Lüdemann. Comme d’autres Romands, notre lecteur de La Tour-de-Peilz (VD) a été victime d’un (ou de plusieurs) escroc toujours actif sur les sites de petites annonces, essentiellement sur anibis.ch. Il se présente sous le nom de «Claudio Salinas» et utilise l’adresse [email protected]. Rien que dans le canton de Vaud, «onze cas ont été annoncés depuis juin, avec des préjudices allant jusqu’à 1800 fr.», informe Pierre-Olivier Gaudard, chef de la Division prévention de la criminalité de la police cantonale.
Faux courriels PayPal
L’arnaque est bien rodée. Claudio Salinas contacte des privés qui ont passé une petite annonce en ligne, afin d’acheter l’objet proposé. Il demande ensuite de l’expédier à une autre personne résidant en Suisse, en fournissant une adresse réelle piquée au hasard. L’escroc souhaite aussi qu’on lui transmette une facture PayPal pour pouvoir finaliser la transaction.
Raphael Lüdemann, qui vendait une lampe sur anibis.ch, a mordu à l’hameçon. Une heure après avoir fait suivre la facture, il reçoit un faux mail estampillé PayPal lui annonçant le versement de 210 fr. par Claudio Salinas. Avec la précision que ce montant était «en cours de traitement» et qu’il lui serait versé une fois l’envoi du colis prouvé.
Et 450 fr. qui s’envolent…
Le lendemain, notre lecteur poste le paquet et transmet le numéro de suivi. Un nouveau faux message de PayPal lui annonce la réception dudit numéro. Mais, surtout, le texte avertit notre victime qu’il doit activer son compte au niveau international, étant donné que Claudio Salinas est domicilié en France.
Pour cela, on lui demande de verser la somme de 450 fr. qui lui sera, promet-on, créditée une fois l’authentification terminée. Le courriel indique qu’il doit acheter trois recharges Paysafecard de 150 fr. et communiquer les codes qui y figurent (lire encadré). Raphael Lüdemann s’exécute. Il vient de perdre 450 fr.!
Mais cela ne suffit pas au fraudeur qui lui adresse encore un pseudo-courriel PayPal évoquant une erreur de débit. Un supplément de 1350 fr. en recharges Paysafecard lui est alors réclamé. Cette fois, notre lecteur réalise qu’il s’agit d’une arnaque. Il appelle PayPal qui confirme la fraude, puis Paysafecard où il apprend que les codes transmis ont déjà été utilisés. Finalement, Raphael Lüdemann parvient à bloquer la distribution du paquet et dépose une plainte. L’arnaqueur n’a pas encore été identifié. Selon la police, certains éléments indiqueraient qu’il serait basé sur le continent africain.
Sébastien Sautebin
Conseils de sécurité
Paysafecard et PayPal sous la loupe
Raphael Lüdemann a été victime d’une arnaque basée à la fois sur de faux courriels (phishing) PayPal et sur le système Paysafecard. Voici les points auxquels il faut être attentif avec ces deux entités.
Paysafecard: il s’agit d’un moyen de paiement en ligne. En achetant une carte, par exemple dans un kiosque, on obtient un code de crédit utilisable dans plus de 4000 boutiques web partenaires. Parmi les précautions essentielles:
- saisir uniquement les données Paysafecard dans les boutiques en ligne autorisées;
- ne jamais transmettre le code PIN par e-mail ou par téléphone.
Marc Riedi, CEO de Paysafecard Suisse, pointe du doigt deux éléments qui auraient dû mettre la puce à l’oreille de notre lecteur: d’une part, Paysafecard ne peut pas être utilisé avec PayPal, puisque les deux entreprises ne sont pas partenaires. D’autre part, la transaction ne peut se faire par e-mail. Les numéros PIN doivent être introduits dans les fenêtres de paiement spéciales des sites agréés.
PayPal: Bertrand Lathoud, Information Security Officer PayPal pour l’Europe, rappelle plusieurs règles incontournables:
- prendre le temps de bien analyser les courriels. Dans la plupart des e-mails de phishing, il y a un caractère d’urgence, pour faire agir rapidement et oublier les règles de sécurité élémentaire;
- ne pas se fier aux e-mails reçus et vérifier sur son compte PayPal qu’un paiement a bien été effectué avant d’envoyer quoi que ce soit;
- PayPal ne demande jamais d’acheter des cartes prépayées pour activer un compte;
- il est possible de signaler tout message suspect à [email protected]. où il sera analysé.
