Les locataires ne sont pas les seuls à être visés par les fraudeurs. Les propriétaires peuvent également être ciblés par les cybercriminels. Nous décrivons ici les modes opératoires utilisés pour arnaquer les propriétaires de locations saisonnières.
Des fraudes sournoises et souvent méconnues !
Au contraire des fraudes qui visent les locataires, ces arnaques passent souvent sous les radars. Il arrive que le propriétaire ou annonceur ne se rende pas compte qu’il a été victime d’une escroquerie ou qu’il soit capable de faire le lien avec un contact sur un site de location de vacances. Elles sont par conséquent peu médiatisées et souvent méconnues des les annonceurs.
A. Les principaux types de fraude
Les fraudes au remboursement sont souvent originaires d’Afrique de l’ouest.
A partir d’un chèque volé ou falsifié
La technique consiste à réserver un hébergement de vacances auprès d’un annonceur et de lui verser un montant bien plus important que celui du loyer (en général par chèque volé ou contrefait). Le fraudeur, en prétextant une “erreur”, demandera le remboursement de la différence par virement sur son compte. Si le chèque est encaissé, le montant sera bien crédité sur le compte du propriétaire. Mais il sera débité par la suite, lorsque la banque se rendra compte que le chèque n’est, en fait, pas approvisionné lors des échanges interbancaires. Le propriétaire aura donc remboursé le pseudo-locataire alors qu’il n’aura pas perçu les fonds.
Il est facile de se prémunir de cette fraude : il suffit de ne pas rembourser le (pseudo) locataire sans avoir la garantie écrite de la banque que le chèque est bien approvisionné.
A partir d’un faux paiement sur Western Union ou Moneygram
Le fraudeur contacte le propriétaire par SMS (pour éviter les messageries sécurisées de certains sites ) et propose de louer le bien.
Une fois le contrat reçu, il envoie un faux document attestant d’un règlement sur Moneygram, La Poste ou Western Union en indiquant avoir payé, en sus des arrhes prévues, un montant pour couvrir les « frais de transaction ».
Il demande par ailleurs au propriétaire d’appeler un « régisseur » pour obtenir l’argent versé. Le « régisseur » guide alors le propriétaire pour qu’il s’inscrive sur le site de Moneygram ou Western Union et lui demande de faire préalablement un paiement en « remboursement » desdits frais de transaction, soit disant « déjà payés » par le pseudo locataire, comme l’attestent les faux documents fournis.
Cette stratégie consiste à obtenir un accès au compte du propriétaire sur la plate-forme. Objectif : y détourner les loyers. L’escroc contacte le propriétaire sur la plate-forme et arrive à obtenir son adresse e-mail. Il envoie alors un e-mail de phishing imitant celui de la plate-forme en invitant l’annonceur à se connecter. Ce dernier saisit son identifiant et mot de passe et éventuellement le code de sécurité envoyé par SMS. Le fraudeur peut alors se connecter et changer les accès et coordonnées.
Certains sites (MediaVacances.com entre autres) imposent des restrictions supplémentaires au changement de coordonnées, rendant ce mode opératoire très difficile à mettre en œuvre.
Un autre mode opératoire consiste à demander un RIB à l’annonceur en prétextant vouloir le payer. Une fois le RIB récupéré le fraudeur envoie une autorisation de prélèvement à la banque en provenance d’un (pseudo) organisme officiel ou une demande de virement sur son compte. Dans certains cas, le cybercriminel aura eu une copie de la signature via un contrat de location de vacances pré-signé.
L’utilisation de la messagerie sécurisée de certains sites est un moyen de lutter efficacement contre cette méthode. Les contacts frauduleux seront détectés et les choses n’iront pas plus loin. Il est par ailleurs impératif de ne pas transmettre un contrat signé ou présigné avant d’avoir reçu les arrhes.
B. Les clés de la sécurité pour les annonceurs
Beaucoup de plates-formes de location entre particuliers proposent une messagerie interne. Certaines de ces messageries dites “sécurisées” permettent de détecter les communications à risque, à la fois du côté propriétaire et locataire. pas perçu les fonds.
Exemple de message frauduleux sur une messagerie sécurisée. MediaVacances.com calcule systématiquement le risque associé au message d’un internaute à destination du propriétaire. Si un message dépasse une valeur limite, le propriétaire est prévenu du potentiel frauduleux de la demande . Les services du site réalisent ensuite une vérification manuelle et le propriétaire est informé du résultat.
Propriétaires comme locataires sont la cible régulière d’e-mails de “phishing”. Pour les détecter il suffit d’un peu de vigilance et de culture générale concernant les “noms de domaine”, concept informatique très important pour échapper à la fraude.
Voir la page dédiée à la détection du “phishing“
Un certain nombre de sites de locations de vacances imposent (Abritel, Airbnb, Booking…) ou proposent à titre optionnel (les services “Paiement Sécurisé” de MediaVacances.com et Leboncoin) des services de paiement en ligne. Ces services permettant au locataire de payer le loyer par le biais de la plate-forme aux plates-formes de toucher une commission sur les location. Ces services sont souvent chers, mais permettent à l’annonceur, entre autres avantages, de ne pas divulguer ses informations bancaires.
Les mots de passe doivent être solides, alterner majuscules, minuscules, chiffres et éventuellement caractères spéciaux.
Utiliser une plate-forme dotée d’une connexion au compte avec double authentification est un strict minimum (“Authentification en deux étapes” chez Airbnb, service “Sécurité+” chez MediaVacances.com, “Authentification forte” chez Abritel, etc.). Il faut activer ces systèmes lorsqu’ils sont disponibles. Certaines plates-formes proposent un niveau supplémentaire de sécurité (“Question de sécurité” sur MediaVacances.com, par exemple).
L’envoi d’un contrat pré-signé avec un RIB dans le cas d’un paiement direct expose l’annonceur ou le propriétaire à un risque de demande frauduleuse de virement ou prélèvement auprès de sa banque. Le contrat doit être envoyé non signé au locataire, qui doit alors le signer et le renvoyer avec le paiement des arrhes. Le retour du contrat signé par le propriétaire ne peut se faire qu’une fois que les arrhes ont été perçues.