C'est quoi cette arnaque sur Blablacar ?

Le phishing ne frappe pas uniquement par e-mail ou SMS... Cette technique frauduleuse est partout, et des utilisateurs de Blablacar en ont fait l'amère expérience. C'est un « thread » sur Twitter d'un confrère d'Usine Nouvelle, Valentin Hamon-Beugin, qui a mis en lumièrelumière l'arnaque. Depuis, d'autres témoignages sont apparus, et la méthode est hélas classique.

Au départ, tout se passe sur le site ou l'applicationapplication de Blablacar. On cherche une solution de covoiturage sur un trajet précis, et forcément, on opte le plus souvent pour le moins cher. Le problème, c'est que des esprits malveillants ont décidé de polluer cette plateforme et de profiter de cette recherche du prix le plus bas. La stratégie est simple : faire croire que la transaction a échoué en annulant le voyage, et poursuivre la discussion en privé. En l'occurrence sur Whatsapp.

Pour un Paris-Nantes, le prix le plus bas est proposé par Frank dont la description est en tchèque. C'est son premier trajet et le compte a été créé en février 2022. Étrange… © Futura

Un faux lien mène vers une fausse page Blablacar

L'arnaque est si bien huilée que, même lorsque l'on décide de ne pas aller au bout de la transaction, d'autres profils apparaissent avec les mêmes conditions et les mêmes tarifs. Forcément, quand on a besoin de faire un déplacement et que le paiement échoue à plusieurs reprises, on accepte de poursuivre la discussion en privé.

Là, l'échange continue et le « pirate » propose un lien pour payer à nouveau. Comme on peut le constater, il y a Blablacar dans l'URL, sauf qu'il y a « m- »  devant, et non « m. ».  Lorsque la page s'ouvre, c'est une parfaite imitation de Blablacar. Impossible de voir la supercherie. Résultat, l'utilisateur entre ses coordonnées bancaires, puis paie son trajet. Sauf que c'est une fausse page de Blablacar, et que les « pirates » récupèrent ainsi les coordonnées bancaires du client.

Le préjudice se compte en plusieurs centaines d'euros. Ou plutôt en roubles puisque les escrocs seraient russes, et même plus exactement biélorusses. Heureusement, la double authentification, qui consiste à valider un paiement par SMS, a permis à notre confrère de stopper la transaction. Mais d'autres, hélas, sont tombés dans le piège. À l'arrivée, des centaines d'euros perdus, et aucun voyage évidemment.

Le lien qui mène vers la fausse page contient le terme Blablacar, mais le « - » est un indice de l'arnaque.  © Valentin Hamon-Beugin

Se méfier des comptes sans aucune référence, ni photo

Alerté, Blablacar a suspendu les comptes impliqués dans l'arnaque, et demandé à ses utilisateurs de s'assurer que « tous les paiements soient toujours bien réalisés depuis [sa] page web, [son] site mobilemobile ou [son] appli. Il est important de ne jamais procéder au paiement de vos réservations depuis d'autres sites que le [sien] ». C'est valable pour Blablacar mais aussi pour tous les autres services en ligne. Sans oublier que la plateforme propose sa propre messageriemessagerie en ligne, et qu'il n'est pas nécessaire de passer par WhatsappWhatsapp, Messenger ou autre pour échanger avec un utilisateur.

D'autres conseils permettent de ne pas tomber dans le piège. D'abord, se méfier des comptes qui n'ont pas de photo, et simplement un prénom. Se méfier aussi des comptes qui n'ont pas de notes ou d'antécédents. En clair, tout nouveau compte est suspect. Et s'il y a une photo, vérifier qu'il ne s'agit pas d'une image créée par Intelligence artificielle. Autre indice : le numéro de téléphone de son correspondant. S'il s'agit d'un numéro à l'étranger, c'est évidemment très suspect pour un trajet en France. Enfin, pour tout contact en privé, privilégiez l'appel de vive voix et le paiement en mains propres.