Les modes opératoires

Nul n’est à l’abri d’une fraude. Cependant, en connaître les spécificités est utile pour lutter efficacement contre celle-ci. Découvrez comment repérer les modes opératoires les plus courants dans le domaine de l’arnaque à la location de vacances.

A. Le plus fréquent : l’annonce fictive

Le fraudeur crée une fausse annonce avec des photos trouvées sur le web. Il encaisse ensuite les montants demandés à la réservation.

Dans une forme un peu plus sophistiquée, il copiera une annonce existante. Pour un maximum d’efficacité il aura, au préalable, demandé au propriétaire légitime un acte de propriété et une pièce d’identité, en se faisant passer pour un locataire inquiet. L’escroc pourra donc, à loisir, produire ces documents au service de lutte contre la fraude de la plate-forme et/ou à ses potentielles victimes.

1. Transactions directes

Si la plate-forme ne propose pas (ou sous forme optionnelle) un paiement en ligne, le fraudeur demandera le règlement du loyer par un moyen lui permettant de ne pas dévoiler son identité :

a. Services de transfert d’argent international comme Western Union ou Moneygram
b. Compte Paypal
c. Carte prépayée (Italie, voir l’article à ce sujet)
d. Mandat Cash ou Mandat Postal
e. Compte bancaire ouvert sous un faux nom ou compte bancaire à l’étranger
f. Bitcoins et autres cryptomonnaies


2. TRANSACTIONS VIA LA PLATE-FORME

Cela concerne le cas dans lequel le locataire paye le propriétaire via la plate-forme : ce peut être le cas sur MediaVacances.com (dans le cadre du “Paiement Sécurisé”), Booking ou encore Airbnb, etc. L’annonceur est alors payé par la plate-forme quelques jours après le début du séjour. Si le logement n’existe pas ou n’est pas accessible, il n’y a pas de paiement. Les fraudeurs vont donc chercher à contourner le système de paiement du site en utilisant deux techniques :

a. Le phishing

Le “phishing” (dérivé de l’anglais “fishing”) est une technique visant à envoyer un e-mail frauduleux imitant celui d’une organisation légitime.
L’escroc annonce au vacancier que la plate-forme “va lui envoyer un e-mail de réservation”. Cet e-mail est en fait envoyé par le fraudeur lui-même, imitant celui de la plate-forme. Il pointe vers un site de paiement frauduleux permettant d’obtenir un paiement et/ou le numéro de la carte bancaire du locataire.

Nous vous invitons à consulter la page “Technique” de ce blog dédiée à la détection des e-mails et sites de phishing.

b. La demande de paiement direct contre réduction

Beaucoup plus simple que la formule ci-dessus, cette méthode consiste à convaincre le locataire de payer directement le propriétaire sans passer par le site.
Cette pratique peut être particulièrement trompeuse. En effet, le fraudeur met en avant des “commissions élevées du site” pour ainsi proposer une réduction significative si le locataire accepte de payer en dehors de la plate-forme.

Cette méthode est rarement utilisée sur les sites pour lesquels le service est gratuit pour les locataires (comme MediaVacances). En effet, le locataire n’ayant pas de frais de réservation à régler, il n’aurait rien à y gagner; l’argument est donc difficilement recevable.

B. Plus rare : le piratage des comptes de l’annonceur

Un autre moyen consiste à pirater le compte e-mail du propriétaire légitime (cas A) et/ou son compte sur la plate-forme de location (cas B). Objectif : intercepter les communications avec le locataire et percevoir les loyers. Ce mode opératoire a l’avantage d’échapper aux dispositifs de contrôle de la plate-forme, quand ils existent, mais n’est pas facile à mettre en œuvre.

Le fraudeur va donc :

a. Contacter le propriétaire légitime sur la plate-forme en se faisant passer pour un vacancier. Objectif : obtenir son adresse e-mail,
b. Envoyer un e-mail de “phishing” en se faisant passer soit pour son opérateur internet (méthode 1), soit pour la plate-forme de location de vacances (méthode 2). Objectif : récolter les données d’accès.

Méthode 1 : Piratage du compte e-mail

Une fois les codes d’accès à la messagerie obtenus par le fraudeur, il lui suffit d’intercepter discrètement les messages provenant de la plate-forme. La plupart du temps l’escroc paramètre la boite e-mail de l’annonceur pour rediriger automatiquement tous les messages vers sa propre boite. Il n’interviendra que pour supprimer les messages sur la boite du propriétaire légitime. Utiliser la messagerie interne de la plate-forme démontre ici son intérêt.

Méthode 2 : Piratage du compte du propriétaire légitime sur la plate-forme

Dans le cas d’un site n’imposant pas de paiement en ligne, le fraudeur modifie les accès au compte afin d’intercepter les communications avec le locataire et empêcher l’accès du propriétaire légitime.

Si le site impose un paiement en ligne, le pirate pourrait modifier les données du compte bancaire destinataire des loyers. Le propriétaire continuera à gérer les réservations des locataires. Le fraudeur n’aura plus qu’à récupérer l’argent versé par la plate-forme sur son propre compte bancaire.

Malgré tout, ces méthodes sont bien plus laborieuses que la “simple” création d’une fausse annonce; en effet, en raison de nombreuses procédures de sécurité elles sont quasiment impossible à mettre en œuvre sur certaines plates-formes.
Le fraudeur devra par ailleurs nécessairement prendre des mesures pour que le propriétaire légitime ne s’aperçoive pas du détournement.

C. La fausse agence

Dans certains cas les escrocs utilisent les plates-formes de locations de vacances voire les réseaux sociaux pour rediriger les candidats locataires vers leur propre site internet imitant celui d’une agence (voir l’article sur un récent cas de d’arnaque en Espagne).
Ces arnaques peuvent s’avérer être très sophistiquées et impliquer des moyens importants : création d’un site web, d’un standard téléphonique, de moyens publicitaires, etc. Consultez la page dédiée aux procédures de vérification pour contrôler la légitimité de ce type de site.

Au contraire des annonces sur les sites de location entre particuliers, les fausses agences peuvent rester longtemps en activité. Le site ci-dessus a été créé en aout 2021, et est encore en activité au moment de la rédaction de cette page, 6 mois plus tard.