On connaissait déjà les arnaques au Compte Personnel de Formation (CPF). Mais les pirates ont trouvé une nouvelle combine. Leur cible ? Les utilisateurs de la plateforme de covoiturage Blablacar. Décryptage.
Victor, 28 ans, devait se rendre ce week-end à Dax pour le mariage d'un ami. Après un rapide tour sur la plateforme Blablacar, il trouve un trajet Nantes - Dax au prix de 23 euros. Soit deux fois moins cher que les propositions des autres conducteurs. Une aubaine pour le jeune homme, qui réserve sans attendre. La conductrice, Inès, le contacte alors sur Whatsapp pour arranger les détails du voyage, et un rendez-vous est fixé dans la foulée.
Mais très vite, il déchante. La veille du départ, à 21h, la conductrice l'interpelle : « Pourquoi vous avez annulé ? ». Après un coup d'œil sur Blablacar, Victor constate que son trajet a effectivement été supprimé. Incompréhension d'abord. Le jeune homme est pourtant certain de n'avoir touché à rien. Puis c'est la panique. Le mariage approche, et le voilà privé de son unique moyen de locomotion.
A son grand soulagement, la conductrice prend les choses en main. Elle affirme avoir écrit au service client de la plateforme, et propose une solution : « Le service clientèle a écrit qu'il y avait une sorte d'erreur, le voyage doit être réservé à nouveau, ils m'ont donné un lien pour vous. La réservation précédente vous sera remboursée ».
Mais le lien renvoie vers une demande de paiement de 230 euros, et non 23 euros. Détail, dont Victor, dans sa hâte, ne s'aperçoit pas tout de suite. Pire : une fois le paiement effectué, la conductrice ne répond plus. Inès a disparu, sans laisser de traces.
Arnaque aux abonnements : comment stopper un paiement récurrent par carte bancaire ?
Les attaquants se professionnalisent
En vérité, elle n'a même jamais existé. Chaque jour, les pirates créent de nombreux faux profils sur la plateforme Blablacar, qui compte 100 millions de membres dans le monde, dont près de 20 millions en France. Les escrocs utilisent ces faux profils pour poster des annonces de covoiturage. Puis ils créent un sentiment d'urgence en annulant le rendez-vous au dernier moment, et redirigent l'utilisateur vers une copie du site Blablacar.
Si le phishing (ou « hameçonnage »), n'a rien de nouveau, on assiste depuis quelques années à une professionnalisation des attaquants, qui sont capables d'usurper l'identité d'entreprises bien réelles pour mieux vous soutirer vos coordonnées bancaires. Victor, lui, s'en est tiré de justesse. Sa banque a détecté une transaction à risque et lui a immédiatement proposé de bloquer le paiement, et de faire opposition sur sa carte bancaire. Mais tous n'ont pas eu cette chance.
Les faux profils sont parfois difficiles à repérer. Pour les éviter, mieux vaut privilégier les profils qui ont déjà reçu des avis de la part des autres utilisateurs. Pour lutter contre ces arnaques, la plateforme de covoiturage a renforcé sa sécurité. « Il s'agit de cas qui restent rares et que nous sommes en mesure de détecter et de bloquer rapidement, dès qu'un comportement suspect est détecté ou qu'un membre nous le signale », relativise toutefois un porte-parole de Blablacar.