Il est très important pour nous de protéger au mieux nos utilisateurs et utilisatrices contre les fausses annonces. Les méthodes des escrocs ne cessent d’évoluer, mais nous développons nous aussi les moyens nécessaires pour détecter les annonces frauduleuses à un stade précoce. C’est pourquoi nous investissons beaucoup de temps dans la prévention de la fraude, que ce soit par des vérifications téléphoniques ou des modèles de fraude constamment mis à jour pour la reconnaissance automatique des arnaques. En parallèle, nous avons mené de nombreux entretiens avec les autorités et pratiqué le « mystery shopping ». Dans ce rapport, nous te racontons notre expérience avec un escroc.
Afin de mieux protéger la plateforme Flatfox et donc nos utilisateurs et utilisatrices, nous devons savoir comment procèdent les arnaqueurs: c’est pourquoi nous avons tenté une expérience.
Nous avons répondu à une annonce pour une chambre en colocation à Zurich, qui avait déjà été identifiée comme une annonce frauduleuse et traitée en conséquence. Pour des raisons de sécurité, nous ne voulions pas communiquer avec les escrocs en utilisant un vrai nom et une vraie adresse e-mail. Chez un fournisseur de messagerie électronique gratuit, nous avons créé une adresse e-mail sous un nom d’emprunt.
Dans le premier message, il a soudain été question de la location de tout l’appartement de 3,5 pièces au lieu d’une seule chambre – toujours au prix de CHF 940.–, soulignons-le. Il nous a également été demandé d’écrire à une adresse e-mail privée – le but étant que la conversation ait lieu en dehors du portail immobilier et ne puisse pas être contrôlée. Avec la nouvelle adresse e-mail créée, nous avons écrit à l’escroc sous le pseudonyme « Daniel Meier », dans un anglais approximatif:
«Hi I am very interessted in your flat, since I neet to get out of my appartment. please help me otherwise I have no home. Daniel Meier»
Les annonceurs sérieux ne répondraient même pas à un tel message. Le lendemain, nous avons reçu un long e-mail en anglais:
«First of all many thanks for your interest in my apartment in [Strasse gelöscht] 8004 Zurich, 3.5 rooms 85 m². I bought this apartment for my daughter during her studies in Switzerland, but now she is back home, so I rent the place for an unlimited time. [...]»
Le message se poursuivait par une « histoire touchante » expliquant pourquoi la propriétaire louait l’appartement et précisant que cette dernière, une certaine Sabrina Melani Jiminez, devait venir spécialement d’Espagne pour la visite. Bien entendu, nous voulions absolument louer l’appartement, d’autant plus qu’il ne coûtait que CHF 940.– par mois. Sous le pseudonyme « Daniel Meier », nous avons continué la conversation:
«okay that sounds great, I would rent it immidiately. Deposit or Rent is no problem for me, because its good price the 960! Best wishes from snowy Switzerland! Daniel Meier»
Le lendemain, nous avons de nouveau reçu une réponse de l’escroc:
«You seem like a very nice person, and I would be more than happy to have you as my tenant ! :) [...]»
Là encore, nous « avions de la chance ». Le texte ressemblait une fois de plus à un e-mail standard. Mais il devenait intéressant, car nous apercevions lentement là où l’escroc voulait en venir: il était dit que nous devions déposer une caution pour pouvoir visiter l’appartement. À ce stade, toutes les sonnettes d’alarme devraient déjà retentir – jamais on ne verse de l’argent avant d’avoir visité le logement.
L’escroc justifiait cette caution par le fait qu’elle prouvait notre sérieux et l’intention de louer l’appartement. Airbnb devait faire office de « partenaire sûr » pour le versement de la caution. C’est là que ça devient passionnant. Comment l’escroc se sert-il d’Airbnb pour récupérer notre argent?
Nous, c’est-à-dire notre pseudonyme « Daniel Meier », avons accepté de procéder ainsi et réitéré notre intention de louer l’appartement. « Melani » nous a alors écrit à quel point il était important d’agir rapidement, puis nous a envoyé dans un deuxième e-mail l’URL d’une prétendue annonce Airbnb: en raison du formatage HTML, l’URL ressemblait à « airbnb.com/rooms/9448967 », mais en y regardant de plus près, on voyait apparaître un hyperlien caché vers un site web malveillant. Malgré le risque de virus, nous avons cliqué sur le lien malveillant et une page s’est ouverte, qui ressemblait à s’y méprendre à la vraie page d’Airbnb.
La seule différence était l’autre URL qui était affichée dans la barre d’adresse. Afin d’instaurer la confiance, l’annonce avait même quatre évaluations très positives de la part d’utilisateurs (des faux), avec des commentaires élogieux. Le fait que les prétendus clients aient loué l’appartement comme un Airbnb normal, pour une courte période, et qu’ils décrivent l’hôtesse Melani Jiminez comme très aimable avait tout pour mettre la puce à l’oreille: cela ne correspondait pas à l’histoire que nous avions entendue, selon laquelle Madame Jiminez vivait en Espagne. Ou peut-être avait-elle pris l’avion direction la Suisse pour chacun des séjours Airbnb?
Nous avons quand même fait ce qui était demandé et avons réservé l’appartement pour un mois. Nous n’avons rempli que les informations vraiment nécessaires, avec des données fictives. Lors de la clôture de la « réservation », nous nous attendions à devoir saisir les données de carte de crédit pour le paiement. Ce ne fut pas le cas, mais notre réservation était tout de même faite. Le lendemain, nous avons reçu un e-mail de Melani Jiminez:
«Daniel,
Why did you made an empty booking ?
Melani»
Apparemment, nous avions oublié d’indiquer l’adresse lors de la réservation, et naturellement toutes les informations fournies sur la fausse page Airbnb étaient allées directement à l’escroc. Nous lui avons immédiatement répondu que c’était une erreur, que nous voulions faire une nouvelle réservation et, au cas où, nous lui avons envoyé la fausse adresse de Daniel Meier. L’arnaqueuse s’est ensuite excusée et a dit que la réservation s’était probablement retrouvée dans son dossier spam. Elle nous a également confirmé avoir accepté notre réservation. Notre Daniel Meier s’en est bien sûr réjoui et a aussitôt ouvert le deuxième e-mail qui provenait prétendument d’Airbnb.
En examinant de plus près le prétendu message de confirmation d’Airbnb, nous avons remarqué que l’adresse e-mail était incorrecte. Et tout dans le contenu de l’e-mail indiquait une fraude: premièrement, la réservation avait été confirmée. Ensuite, on nous informait sur une prétendue nouvelle politique d’Airbnb, selon laquelle les réservations de plus de CHF 1000.– ne pouvaient plus être traitées par carte de crédit, mais uniquement par virement bancaire. C’est évidemment tout à fait faux. Pour les vraies réservations Airbnb, il n’y a pas de limite officielle (sauf au Brésil où la limite de transaction est de $ 3000) et seuls les paiements par carte de crédit sont acceptés (les paiements via Paypal, Google Pay et Apple Pay sont aussi acceptés dans certains pays, mais les virements bancaires ne le sont jamais).
En effet, les escrocs ne peuvent pas faire grand-chose avec un paiement par carte de crédit, car le paiement peut être remboursé en cas d’escroquerie. Dans ce cas, l’arnaqueuse qui se faisait passer pour Airbnb voulait que nous transférions CHF 1940.– (CHF 940.– pour le premier mois de loyer + CHF 1000.– de caution) sur un compte polonais auprès d’une grande banque internationale. La localisation du compte a été expliquée par le fait qu’il s’agissait d’un « pays neutre ». Bien sûr, la somme de CHF 1940.– ne devait être qu’une caution qui serait remboursée.
Il est clair que si nous avions fait ce virement, nous n’aurions jamais revu cet argent. Nous ne devions pas indiquer Airbnb comme bénéficiaire, mais une personne avec une adresse polonaise qui était désignée comme « Financial Manager » d’Airbnb. Un tel stratagème doit également immédiatement susciter la méfiance! Bien sûr, nous n’avons rien versé, mais nous avions ce que nous voulions: nous avions découvert comment fonctionne une arnaque à la location. Nous avons fait tout cela par simple curiosité et en sachant qu’une meilleure compréhension de la manière dont procèdent les escrocs nous aiderait à protéger nos utilisateurs et utilisatrices.
Ne jamais virer d’argent avant la visite du logement
Informer la plateforme en cas d’annonces suspectes
Sur Flatfox, il est recommandé de communiquer via Flatfox Messenger jusqu’à la visite de l’appartement et de ne donner son adresse e-mail/numéro de téléphone qu’après la visite
Toujours verser la garantie de loyer sur un compte de dépôt de garantie de loyer (et non sur le compte du bailleur)