Arnaque sur Vinted : les victimes n’y ont vu que du feu

C’était en février dernier. Elle souhaite vendre quelques vêtements. Elle vient de créer son compte via l’application et quelqu’un vient lui parler pour un vêtement de son dressing. "J’ai photographié un vêtement et très très rapidement, j’ai eu un message, une sorte de pop-up, un chat de quelqu’un qui se disait intéressé par le vêtement", explique la victime. "Dans la foulée, il y a eu un chat qui me disait que je devais encoder les données bancaires."

J’ai encodé ma carte sur quelque chose qui était vraiment semblable à une identification bancaire habituelle.

Rien d’étonnant pour Patricia qui doit recevoir de l’argent pour la transaction. La personne est un peu oppressante, mais la victime ne se doute de rien. Elle rentre donc les informations et le code CVC. "J’ai encodé ma carte sur quelque chose qui était vraiment semblable à une identification bancaire habituelle".

La vie suit son cours jusqu’à un mail reçu quelques jours plus tard. Une transaction frauduleuse a été bloquée par la banque. Les escrocs ont tenté de faire un virement grâce aux informations qu’elle avait données quelques jours plus tôt. Et c’est là que Patricia se rend compte qu’une première somme de 1401 euros a disparu "vers un compte que je ne connaissais pas", déplore Patricia. Un nom de compte qui renvoie vers un site de paiement en ligne, "un peu comme Western Union, mais au Nigéria", raconte Patricia. Et la date de la transaction coïncide avec la création de son compte Vinted.

Plusieurs personnes ont contacté la rédaction d’On n’est pas des Pigeons pour cette même fraude. Thérèse a d’ailleurs témoigné en radio le 22 mars 2023. Elle s’était inscrite sur Vinted quelques semaines plus tôt pour y vendre quatre vêtements.

Je vais vous aider à sécuriser votre compte

Dix minutes après son inscription, elle reçoit un mail qui lui dit que quelqu’un est intéressé. Elle clique sur le lien de la vente et se retrouve à chatter avec Sofia. "Elle me dit : ‘Je vois que c’est votre première fois, je vais vous aider à sécuriser votre compte’", raconte Thérèse.

Cette discussion semble logique. Lorsqu’elle doute, Thérèse interroge son interlocutrice : "Quand elle m’a demandé d’entrer la carte, je lui ai demandé pourquoi. Elle m’a expliqué que c’était une mesure de sécurité. Ça m’a semblé normal", poursuit Thérèse qui est étonnée de devoir refaire la procédure trois fois. "Elle m’a dit ‘vous savez, c’est comme quand vous rentrez une adresse mail, on vous demande de la répéter une deuxième fois’. J’ai trouvé ça cohérent." Sofia a toujours une réponse à tout. Pourtant, c’était bien une arnaque. 2430 euros disparaissent du compte en banque de Thérèse quelques jours plus tard.

Même si l’interface de Vinted a été utilisée par les fraudeurs, la plateforme n’a rien à voir avec cette arnaque. A aucun moment, l’argent volé n’est parti chez eux. Il s’agit ici de phishing, cette arnaque qui consiste à faire croire aux victimes qu’elles sont sur un site de confiance pour leur soutirer des informations privées.

"C’est simplement faire une copie de quelque chose d’existant. En quelques clics, c’est fait", confirme le hacker éthique Giannino Cuignet. "Ils copient le code HTML pour que ça ressemble comme deux gouttes d’eau au vrai site"

Giannino l’a fait devant nous et on doit bien avouer que c’est assez bluffant. En quelques minutes, il a deux écrans similaires qui s’affichent. L’un est le vrai, l’autre un faux. Il n’y a plus qu’à donner un nom de domaine (ndlr : adresse du site) qui ressemble à Vinted et les victimes ne verront pas forcément la différence. "De là, ils vont aller discuter directement dans les chats, ou par mail ou par sms ou autre. En remplissant les champs qui sont sur cette fausse page, la personne donne au hacker, les logins, les mots de passe, les numéros de carte bancaire", poursuit l’expert en cybersécurité.

Dans ce cas-ci, nous sommes donc dans du phishing, de l’hameçonnage. Les victimes ont elles-mêmes donné leur code bancaire via un digipass. C’est donc le code de droit économique qui prévaut. C’est lui qui va déterminer si le remboursement est dû. Il n’y a pas une politique unique pour tous les établissements bancaires. "Chaque banque va analyser les circonstances de la fraude. La loi stipule que les banques doivent procéder à un examen approfondi des faits et des circonstances", explique Charline Gorez, porte-parole de Febelfin, la Fédération belge du secteur financier.

La banque va donc mener son enquête, étape par étape. "S’il n’y a pas de négligence, la banque remboursera", indique Febelfin. "Mais si la banque prouve qu’il y a eu négligence grave, il n’y aura pas de remboursement du client".

Mais donner les codes bancaires n’implique pas forcément une négligence grave : "La négligence est déterminée par les circonstances qui entourent le cas de phishing. Il n’y a pas une réponse générale. Une enquête est effectuée et c’est au cas par cas".

Il faut soi-même ouvrir sur l’application ou taper soi-même l’adresse de sa banque

Si la personne conteste la décision de la banque, il peut aller devant la justice. C’est alors au juge de déterminer si oui ou non, le client est responsable et là aussi, c’est au cas par cas, explique la porte-parole : "On a des cas où le juge a dit que la banque devait rembourser le client parce qu’il n’y avait pas de négligence grave". Dans des cas similaires, le juge a aussi donné raison à la banque.

La banque rappelle par ailleurs qu’il ne faut jamais cliquer sur un lien qui amène à une page web ressemblant à la banque et encoder ses données bancaires. Pour être sûr d’être sur une vraie page de la banque, "il faut soi-même ouvrir sur l’application ou taper soi-même l’adresse de sa banque dans le navigateur pour se connecter", conclut Charline Gorez.

Febelfin le rappelle : 75% des transactions frauduleuses qui sont signées par le client, sont détectées, bloquées, récupérées par les banques.

Retrouvez "On n’est pas des pigeons" du lundi au vendredi à 18h30 sur la Une et en replay sur Auvio.

Pour plus de contenus inédits, rendez-vous sur notre page Facebook et sur YouTube.

Une question à poser ? Face à une incompréhension ? Une arnaque à dénoncer ? Que vous soyez victime ou juste témoin, contactez-nous à sospigeons ou via le formulaire ci-dessous.