Une étudiante de 21 ans nous rappelle que tout le monde doit être vigilant, et qu'il n'y a pas que les personnes âgées, souvent peu à l'aise avec le monde numérique, qui se font avoir.

Non, les victimes des arnaques en ligne ne sont pas toujours des seniors peu habitués à manipuler les outils et services numériques. Morgane est étudiante, elle a 21 ans et vient de "perdre tout son argent" suite à une arnaque dont elle a été victime sur la plateforme belge d'achat/vente d'objet de seconde main, 2ememain.

Impossible d'assister au concert de Shawn Mendes

La mésaventure de Morgane a commencé avec un concert, celui de l'artiste canadien Shawn Mendes. "Je n'avais pas de moyen de transport, je ne pouvais pas me rendre au concert. J'ai donc décidé le 28 février de vendre les deux places que j'avais".

Notre témoin n'a "jamais rien acheté sur 2ememain, mais j'avais déjà vendu des tickets de concert il y a quelques années, et je n'avais pas eu de souci".

Assez rapidement, des acheteurs intéressés se manifestent. "C'étaient des bonnes places, je les vendais 170 euros pour les deux".

Ils insistent pour utiliser PayPal, et proposent de payer plus

Via un message de 2ememain, Morgane est invitée à entrer en contact directement avec une acheteuse, par email. "J'ai reçu une offre d'une femme qui voulait payer via PayPal".

PayPal est une des solutions les plus populaires pour effectuer des paiements en ligne. Sécurisée, elle permet entre autres de ne pas devoir entrer ses coordonnées de carte de crédit sur n'importe quel site marchand.

Mais "je ne connaissais pas et je n'avais pas de compte", explique Morgane, qui propose alors de "faire un virement sur mon compte bancaire". Mais l'acheteuse "a vraiment insisté en disant que c'était sécurisé". Notez que l'acheteuse écrivait dans un français sans faute, ce qui n'est souvent pas le cas lors de ce genre de tentative d'arnaque. Pas de quoi se méfier jusqu'à présent.

Des escrocs bien organisés: ils utilisent un numéro court pour envoyer un message au nom de PayPal

Les victimes sur les plateformes de vente d'objet de seconde main se font souvent avoir par l'appât du gain. Les escrocs le savent et promettent donc de l'argent supplémentaire. Une fois que Morgane a accepté, elle s'est mise à croire dur comme fer que c'était la meilleure option, et qu'il fallait aller jusqu'au bout. Elle n'est ni la première, ni la dernière, à tomber dans le panneau.

"J'ai créé un compte PayPal et j'ai reçu un premier SMS avec un code pour confirmer mon compte". C'est la procédure habituelle: PayPal est prudent et exige une vérification en deux étapes pour éviter les faux comptes et les piratages.

Jusqu'ici rien d'anormal, donc. Ça devient plus étrange quand "la femme me demande par email mon numéro de téléphone", soi-disant pour effectuer le paiement du compte PayPal de l'acheteuse vers celui de Morgane.

En confiance, pensant finaliser une transaction avantageuse, Morgane ne se méfie pas quand elle reçoit un autre SMS, "du même numéro court, 8810, et qui contient un lien". Ce SMS-là est un faux (voir ci-dessous): les escrocs sont bien organisés pour 'louer' un tel numéro de manière anonyme, au bon moment.

Elle se retrouve alors redirigée sur un site web aujourd'hui disparu, et qui va lui coûter très cher. Il s'agissait sans doute d'une pâle copie du site de PayPal, lui indiquant qu'elle allait recevoir un appel téléphonique pour finaliser la transaction.

Une arnaque classique "au Digipass"

Notre jeune témoin est sur le point d'être victime de la fameuse "arnaque au Digipass", dont on a déjà beaucoup parlé. "Un homme m'a appelé, cette fois, se disant de PayPal". Soi-disant, pour que le paiement se fasse via PayPal, elle doit prendre sa carte de banque et son boitier.

Morgane s'exécute. Avec le recul, elle se demande comment elle a pu faire ça. "Je leur ai communiqué plusieurs fois les 'challenge' (les numéros affichés par le boitier dans lequel on insère sa carte de banque) que j'ai reçus".

En quelques minutes, les escrocs ont réussi leur coup. "Ils ont transféré l'argent de mon compte épargne vers mon compte courant, puis vers un compte en France, au nom de Frédéric Marcotte". Elle s'en est aperçu peu après, en consultant son application ING.

Un accueil "très sympa" de la police

Morgane a immédiatement contacté sa banque. "Il était plus de 22h, je ne pouvais pas entrer en contact par téléphone avec le service fraude". Le jour suivant, elle téléphone, "et on me dit qu'un dossier est ouvert, et qu'ils vont bloquer le paiement, vu que c'est sur un compte français, il n'est pas immédiat".

Elle se rend dans une agence. "Je n'avais pas rendez-vous, donc je n'ai pas vraiment été bien reçue au guichet". De fil en aiguille, elle comprend que le virement a bien eu lieu, malgré tout. Et que pour un éventuel remboursement, "ça va être difficile, mais ils vont essayer".

Morgane doit se rendre à la police pour espérer que la procédure de remboursement ait lieu au niveau d'ING. "Ils ont été vraiment très sympa, mais ils m'ont dit que ce genre de dossier/plainte était automatiquement classé sans suite si le préjudice était inférieur à 10.000€".

Comme nous avait expliqué le substitut du procureur du Roi dans un autre cas d'arnaque, si plusieurs dossiers se recoupent, avec par exemple un même compte bancaire de destination (celui de l'escroc), un magistrat pourrait diligenter des devoirs d'enquête supplémentaire, voire mettre sur pied une coopération internationale.

Notre jeune témoin y dépose donc une plainte de toute bonne foi, expliquant qu'elle a communiqué ses challenges les uns après les autres. Elle envoie une copie du PV de cette plainte à ING.

"J'aurais dû mentir"

Hélas, elle finit par apprendre "par des personnes charmantes" d'ING que la banque ne pourra pas lui rembourser les 400€, que son cas ne rentre pas dans les conditions. "On me dit que j'ai communiqué mes challenges par téléphone, que c'est de ma faute". Ce qu'elle reconnait partiellement, mais vu qu'elle a immédiatement appelé le service de fraude, elle trouve que les torts sont partagés: "Ils auraient pu annuler le virement".

Ce qui ajoute à son amertume, c'est qu'on lui a sous-entendu qu'elle aurait dû mentir. "J'ai été trop honnête, si j'avais fait l'innocente, si j'avais dit que l'argent m'avait été volé autrement, peut-être qu'on m'aurait remboursée. En fait, j'aurais dû mentir".

Un seul conseil, et c'est toujours le même: ne communiquez à personne, sous aucun prétexte, des 'challenges' (série de chiffres) obtenus en insérant votre carte de banque dans le boitier "Digipass". Encore moins par téléphone à un inconnu. Vous ne devez insérer ces chiffres que dans le cadre d'une procédure de paiement ou d'authentification, sur le site ou l'application officiel(le) de votre banque, ou sur des sites très sérieux utilisant des plateformes de paiement en ligne avec votre carte Maestro/Bancontact.