On pense tous être plus malins que les autres quand il s'agit d'escroqueries en ligne. Il faut dire que j'en connais désormais un certain nombre. Un exemple: récemment, la «police cantonale de Zurich» m'a appelée et une voix préenregistrée m'a informée que j'allais être redirigée vers une vraie personne à cause d'un acte criminel que j'aurais commis.
J'ai immédiatement raccroché. Il était évident que la vraie police ne se manifesterait pas de cette manière. Je n'ai pas non plus donné mes coordonnées bancaires à un escroc sur Ricardo lorsqu'il a prétendu en avoir besoin pour faire livrer chez moi de la marchandise que j'aurais achetée.
Mais malgré toute ma vigilance, j'ai quand même failli me faire avoir et donner 895 francs à des escrocs. Voici ce qu'il s'est passé: je devais me rendre d'urgence à Londres et le train n'était pas envisageable. J'y suis allée en avion. Mais le voyage de retour a duré aussi longtemps que si j'avais pris les chemins de fer.
J'ai atterri six heures plus tard que prévu, après une escale à Copenhague. J'ai contacté Swiss pour me plaindre, qui m'a répondu que ce retard était dû au vent et que ce n'était pas un critère de dédommagement. J'ai posé d'autres questions, mais le service clientèle ne m'a pas répondu.
J'ai fini par écrire, en colère, un message sur X (anciennement Twitter) en adressant mon tweet au compte officiel de la compagnie aérienne, @FlySWISS. Moins de cinq minutes plus tard, «Swiss Intl Air Lines» s'est excusé pour le désagrément, puis un certain «Dieter Vranckx Swissair Rep» m'a écrit de le suivre sur X afin de pouvoir entrer en contact avec lui et être dédommagée. Il m'a demandé mon numéro de téléphone et m'a dit qu'un agent de Swiss me contacterait pour la suite.
Le message est écrit dans un anglais propre. Si l'émoji fleur à la fin peut paraître déplacé, elle ajoute une touche de sympathie qui correspond parfaitement au style de communication actuel des grandes entreprises.
Contente de voir ma requête obtenir une réponse, j'ai donné mon numéro de réservation et mon numéro de vol. Peu de temps après, un type qui parlait bien anglais m'a appelée. Il avait un fort accent étranger, mais cela ne m'a pas étonnée, car c'était aussi le cas du service clientèle avec lequel j'étais en contact à Londres.
Il s'est excusé une nouvelle fois en bonne et due forme et m'a dit que mon vol me serait remboursé avec un dédommagement supplémentaire de 600 francs. De prime abord, j'ai pensé que Swiss voulait éviter une mauvaise publicité sur X et avait décidé de faire un geste.
L'agent m'a parlé d'une application qu'utilisait Swiss pour me rembourser l'argent, mais je ne l'avais pas. Il m'a alors proposé d'installer une autre application de transfert d'argent, WorldRemit, et m'a envoyé un mot de passe pour me faciliter les démarches.
C'est ainsi que je me suis retrouvée sur une page contenant une fenêtre où je devais rentrer la somme prévue, indiquée en monnaie suisse. Mais j'ai soudain un réflexe de recul: il est écrit «Send money» (Envoyer l'argent) sur le bouton. Et à côté de la monnaie suisse se trouve une indication pour des... shillings kényans. C'est là que j'ai eu le déclic.
L'agent me demande d'entrer les 600 francs plus le prix du billet d'avion. Je refuse. Il argumente que c'est bien la somme qui me sera créditée sur mon compte Swiss. C'en est trop: je lui raccroche au nez. Sur Twitter, le compte «Dieter Vranckx» qui m'a contacté me demande de voir la suite avec le service clientèle. Je lui dis gentiment d'aller se faire voir.
C'est là que je découvre que Dieter Vranckx (le vrai) n'est autre que le CEO de Swiss. Et la réponse envoyée par «Swiss» ne venait pas du compte officiel @FlySWISS, mais de @MD_FlySWISS. De plus, le logo était légèrement différent. Mais surtout, ce compte Twitter n'avait que trois abonnés. Et le faux Dieter Vranckx n'en avait aucun. Comment avais-je pu être aussi naïve?
Mais l'escroc n'allait pas en rester là. Le lendemain, un certain Jason Martin me contacte. Il dit être un collaborateur de Swiss et se manifeste via le compte @JasonFlySWISS, dans un anglais contenant de légères erreurs:
Mais je ne me fais pas avoir, cette fois-ci. Malgré son image parfaitement corporate, le compte n'a que trois followers.
Je n'ai pas failli être victime de phishing par hasard. J'ai été ciblée par un schéma de fraude intelligent, dans lequel X est fouillé à la vitesse de l'éclair pour trouver des plaintes et des mentions @FlySWISS (et probablement le nom d'autres compagnies aériennes). Les faux comptes qui répondent aux plaintes doivent être préfabriqués et nombreux.
Le site Cybercrimepolice.ch de la police cantonale zurichoise dit être au courant du phénomène, mais n'a encore jamais reçu de message de ce type. Jusqu'ici, les fausses offres de compensation de vol avaient plutôt lieu par e-mail. Le service des réseaux sociaux de Swiss constate cependant presque chaque semaine des tentatives d'escroquerie de ce genre, comme l'explique le porte-parole de la compagnie aérienne Michael Pelzer. Ces cas sont immédiatement signalés à X. Et il précise bien:
En effet, le vrai compte de Swiss m'a écrit le lendemain sur X pour m'indemniser en bonne et due forme. Si le ton était également informel et me tutoyait, le lien pour l'indemnisation menait à un formulaire sur le site officiel de la compagnie.
Toutefois, sur X, les longs liens ne s'affichent pas toujours en entier. Selon la police cantonale zurichoise, il ne faut cliquer sur les liens qu'avec beaucoup de prudence. Si l'on se méfie, on peut aussi le copier et l'afficher d'abord intégralement dans un document texte pour pouvoir l'examiner.
Traduit et adapté par Tanja Maeder
