Des escrocs créent de faux comptes sur Blablacar pour récupérer vos coordonnées bancaires. © Blablacar
Tech

C'est quoi cette arnaque sur Blablacar ?

ActualitéClassé sous :Internet , Sécurité , phishing

-

Référence du covoiturage avec plus de cent millions d'utilisateurs, Blablacar est au cœur d'une escroquerie bien rodée qui permet à des esprits malveillants de récupérer les coordonnées bancaires de membres de la plateforme. Derrière cette arnaque, une technique classique de « phishing ».

Cela vous intéressera aussi

[EN VIDÉO] Kézako : comment crypte-t-on les données sur Internet ?  La cryptographie est la plus ancienne forme de chiffrement. On trouve des traces de son utilisation jusqu'en 2.000 avant J.-C. Cette technique encore utilisée aujourd’hui, notamment sur le Web, dévoile ses mystères en vidéo grâce au programme Kézako d'Unisciel et de l'université Lille 1. 

Le phishing ne frappe pas uniquement par e-mail ou SMS... Cette technique frauduleuse est partout, et des utilisateurs de Blablacar en ont fait l'amère expérience. C'est un « thread » sur Twitter d'un confrère d'Usine Nouvelle, Valentin Hamon-Beugin, qui a mis en lumière l'arnaque. Depuis, d'autres témoignages sont apparus, et la méthode est hélas classique.

Au départ, tout se passe sur le site ou l'application de Blablacar. On cherche une solution de covoiturage sur un trajet précis, et forcément, on opte le plus souvent pour le moins cher. Le problème, c'est que des esprits malveillants ont décidé de polluer cette plateforme et de profiter de cette recherche du prix le plus bas. La stratégie est simple : faire croire que la transaction a échoué en annulant le voyage, et poursuivre la discussion en privé. En l'occurrence sur Whatsapp.

Pour un Paris-Nantes, le prix le plus bas est proposé par Frank dont la description est en tchèque. C'est son premier trajet et le compte a été créé en février 2022. Étrange… © Futura

Un faux lien mène vers une fausse page Blablacar

L'arnaque est si bien huilée que, même lorsque l'on décide de ne pas aller au bout de la transaction, d'autres profils apparaissent avec les mêmes conditions et les mêmes tarifs. Forcément, quand on a besoin de faire un déplacement et que le paiement échoue à plusieurs reprises, on accepte de poursuivre la discussion en privé.

Là, l'échange continue et le « pirate » propose un lien pour payer à nouveau. Comme on peut le constater, il y a Blablacar dans l'URL, sauf qu'il y a « m- »  devant, et non « m. ».  Lorsque la page s'ouvre, c'est une parfaite imitation de Blablacar. Impossible de voir la supercherie. Résultat, l'utilisateur entre ses coordonnées bancaires, puis paie son trajet. Sauf que c'est une fausse page de Blablacar, et que les « pirates » récupèrent ainsi les coordonnées bancaires du client.

Le préjudice se compte en plusieurs centaines d'euros. Ou plutôt en roubles puisque les escrocs seraient russes, et même plus exactement biélorusses. Heureusement, la double authentification, qui consiste à valider un paiement par SMS, a permis à notre confrère de stopper la transaction. Mais d'autres, hélas, sont tombés dans le piège. À l'arrivée, des centaines d'euros perdus, et aucun voyage évidemment.

Le lien qui mène vers la fausse page contient le terme Blablacar, mais le « - » est un indice de l'arnaque. © Valentin Hamon-Beugin

Se méfier des comptes sans aucune référence, ni photo

Alerté, Blablacar a suspendu les comptes impliqués dans l'arnaque, et demandé à ses utilisateurs de s'assurer que « tous les paiements soient toujours bien réalisés depuis [sa] page web, [son] site mobile ou [son] appli. Il est important de ne jamais procéder au paiement de vos réservations depuis d'autres sites que le [sien] ». C'est valable pour Blablacar mais aussi pour tous les autres services en ligne. Sans oublier que la plateforme propose sa propre messagerie en ligne, et qu'il n'est pas nécessaire de passer par Whatsapp, Messenger ou autre pour échanger avec un utilisateur.

D'autres conseils permettent de ne pas tomber dans le piège. D'abord, se méfier des comptes qui n'ont pas de photo, et simplement un prénom. Se méfier aussi des comptes qui n'ont pas de notes ou d'antécédents. En clair, tout nouveau compte est suspect. Et s'il y a une photo, vérifier qu'il ne s'agit pas d'une image créée par Intelligence artificielle. Autre indice : le numéro de téléphone de son correspondant. S'il s'agit d'un numéro à l'étranger, c'est évidemment très suspect pour un trajet en France. Enfin, pour tout contact en privé, privilégiez l'appel de vive voix et le paiement en mains propres.


Soutenez votre média scientifique indépendant : découvrez nos formules d'abonnements !

4 bonnes raisons de s’abonner à Futura sur Patreon :

  1. Un site sans aucune publicité à partir de 3,29 euros par mois.
  2. C’est sans engagement.
  3. Des accès à des contenus prioritaires, en avant-première, rien que pour vous.
  4. Vous soutenez notre activité de la meilleure manière possible. Une réelle motivation pour nous !
Découvrez l'univers Futura sur Patreon !
Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !