Une vague de phishing déferle actuellement sur l’incontournable service de covoiturage Blablacar. Le phénomène a récemment été mis en exergue par un journaliste, Valentin Hamon-Beugin, qui a failli se faire avoir et qui a raconté son expérience sur Twitter. Des dizaines d’autres utilisateurs se sont manifestés spontanément en réaction. C’est la preuve qu’il y existe toute une machinerie sous-jacente.
Ce soir, je pense que j'ai failli être victime d'une grave arnaque sur @Blablacar, qui implique (peut-être) des hackers russes. J'ai envie de vous raconter ça au cas vous vous retrouveriez dans la même situation
(1/trop)— Valentin Hamon–Beugin (@BeuginHamon) February 18, 2022
Le scénario d’attaque est le suivant. Des comptes bidon proposent des voyages à des tarifs particulièrement bas. Si un utilisateur mord à l’hameçon, les pirates vont d’abord valider le voyage, puis l’annuler. Ensuite, ils le contactent en dehors du service Blablacar, par exemple sur WhatsApp. En effet, quand un voyage est validé, le numéro de contact du voyageur devient visible pour le conducteur et inversement.
Sur WhatsApp, les pirates inventent un bobard pour expliquer que la transaction n’a pas pu se faire. Généralement, ils invoquent un problème technique du côté du service en ligne. Ils envoient alors un lien pour finaliser la transaction. L’URL de ce lien et la page web affichée usurpent l’identité de Blablacar, afin de mettre la personne en confiance et l’inciter à rentrer les données de sa carte bancaire. En réalité, il s’agit évidemment d’un site monté de toutes pièces par les pirates qui, du coup, peuvent intercepter ces données bancaires et réaliser des paiements frauduleux à des montants beaucoup plus élevés, de l’ordre de plusieurs centaines d’euros. Parfois, ces transactions sont d’ailleurs effectuées en roubles !
A découvrir aussi en vidéo :
Pour ne pas se faire avoir, il suffit de respecter quelques règles simples. Ainsi, il faut éviter de communiquer avec le conducteur en dehors de l’application Blablacar, qui intègre à ce titre une messagerie instantanée. Si vous êtes quand même contacté par une personne en dehors de l’application, il ne faut jamais cliquer sur un lien qu’elle vous envoie, et encore moins effectuer une transaction de paiement. Enfin, il faut privilégier les conducteurs qui disposent d’un profil solide, avec un historique de voyages et où la carte d’identité a été vérifiée.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.