Brother's Art - stock.adobe.com

Transports en commun : une arnaque internationale à la carte illimitée

Les usagers des transports en commun de nombreuses villes de France, d’Europe et au-delà, sont la cible d’une vaste campagne d’arnaque depuis plusieurs mois. Apparemment bien rodée, elle ne semble pas partie pour s’évaporer.

Une vingtaine de communes, départements et régions de France sont concernés, et une dizaine d’autres pourraient l’être prochainement par une importante campagne d’escroquerie à la fausse carte de transports en commun illimitée. 

Ce sont nos confrères de France 3 Centre-Val de Loire qui ont attiré notre attention sur ce qui n’est pas tout neuf. Les campagnes vont et viennent régulièrement depuis quelques mois. Des alertes ont ainsi été émises localement début avril. Début juin, Clément Domingo alertait à nouveau sur X, anciennement Twitter.

Mais cette campagne se révèle dépasser nos frontières, commence sur Facebook, passe par la Russie, puis s’en va aux États-Unis, sur Google Cloud Platform (GCP).

Des publications alléchantes sur les réseaux sociaux

Tout part d’une publication, parfois sponsorisée, sur les réseaux sociaux, notamment X et Facebook. Là, c’est une publication sur une page dédiée qui abrite l’appât : « Obtenez une carte de transport pour voyager gratuitement pendant six mois ! », assure le message. 

Ce dernier est localisé et vise spécifiquement une commune, un département ou encore une région. Nous en avons relevé une vingtaine, actives, pour la France et une dizaine de plus actuellement inactives. 

Les liens renvoient vers le piège. Mais pas tout le monde : un filtrage semble se faire sur la base de l’adresse IP de l’internaute. Si celle-ci ne correspond au public visé, le lien renvoie, notamment, vers une page Wikipédia ; celle du service de transports en commun dont les usagers sont visés.

Pour La Réunion et La Martinique, nous avons réussi à accéder aux pages frauduleuses. La méthode est classique : une fausse loterie où le précieux sésame est gagné dès la seconde tentative. 

Capture d'écran d'un exemple de publication sur Facebook incitant à tomber dans le piège de l'arnaque aux cartes de transports illimitées.
Exemple de publication sur Facebook incitant à tomber dans le piège de l'arnaque aux cartes de transports illimitées.

Mais pour l’obtenir, il faut saisir ses données personnelles, jusqu’à son adresse postale, e-mail et numéro de téléphone. C’est la première étape, car la carte promise n’est pas gratuite : elle est annoncée à un euro, parfois un peu plus. Le titre de la page Web annonce d’ailleurs systématiquement 2,35 € dans les cas que nous avons pu consulter.

Le code source de ces pages Web fait ressortir une campagne en plusieurs langues : anglais, français, allemand, espagnol, et slovaque. De fait, la campagne observée là ne se limite pas à la France.

Espagne, Pologne, Royaume-Uni, Italie…

La grande majorité des noms de domaine utilisés dans cette campagne pour la France renvoie à une adresse IP (95.213.173[.]17) gérée par le Russe Selectel et annoncée par son système autonome 49505. Les services exposés par l’hôte en question suggèrent plus un serveur privé virtuel qu’un hébergement Web mutualisé. 

Le nombre de résolutions associées à cette adresse IP et connues de RiskIQ n’en est pas moins impressionnant. Mais l’historique de parcours de pages Web liées à cette adresse, et connu d’URLScan.io l’est encore plus.

Il jette un nouvel éclairage sur cette campagne, montrant qu’elle est loin d’être limitée à la France. Ainsi, le 9 juillet, cette même campagne visait les usagers des transports en commun de la région de Venise en Italie. Fin juin, c’était Édimbourg en Écosse. On trouve d’ailleurs toujours une page Facebook susceptible d’y avoir été liée.

Capture d'écran d'un exemple d'arnaque à la carte de transports illimitée pour La Réunion.
Exemple d'arnaque à la carte de transports illimitée pour La Réunion.

À la même période, les usagers de Gijón, en Espagne, étaient également visés. Un mois plus tôt, ceux de Barcelone les avaient précédés, ainsi que ceux d’Alicante. Début avril, les usagers des transports en commun de Valence étaient pris pour cible.

Ceux de Wroclaw, en Pologne, n’ont pas été oubliés, ni même ceux de Gdansk, voire même ceux d’Istamboul, d’Antalya et d’Izmir, en Turquie, début mars. À cette même période, la campagne a également visé les résidents de Galice, avec une fausse opération aux couleurs de la banque Abanca.

Fin février, les habitants de Wellington, en Nouvelle-Zélande, faisaient l’objet d’une campagne aux couleurs de l’opérateur Snapper. Quelques jours plus tôt, les Espagnols étaient visés par une opération tout aussi mensongère, mais s’appuyant cette fois sur une carte cadeau pour les supermarchés du pays. Tandis que les Britanniques de Manchester étaient appâtés par une offre de carte de transport pour le réseau Bee.

Une campagne appelée à venir et revenir en vagues

Le code source des pages associées à cette campagne suggère que les données collectées sont ensuite transmises à un serveur dans l’environnement de cloud public de Google. Le nom de domaine associé (mwn0dftrk[.]com) apparaît généré par algorithme et a été déposé tout début avril.

L’unicité de construction des pages Web associées à cette campagne ainsi que les éléments d’infrastructure observés suggèrent plus qu’une activité épisodique : si les cibles varient dans le temps, il apparaît vraisemblable que des opérations liées à cette campagne émergent puis disparaissent régulièrement par vagues régulières. Et cela d’autant plus que des pages Facebook vraisemblablement liées à cette campagne existent, mais sont pour l’heure inactives, pour Perpignan, Poitiers, Saint-Quentin, Limoges, Dijon, Le Mans, Avignon, Chambéry, ou encore Reims.

Liste des domaines observés pour la France.
Nom de domaine Ville, département ou région
jujz[.]com Tours, Nevers
subcardioid[.]com Pau
viraja[.]com Évreux, Clermont-Ferrand
newsjanshakti[.]com Douarnenez, Strasbourg
seochivalry[.]com Troyes
konutgunceldestekhatti[.]com Auxerre
realrichalbright[.]com La Martinique
deucenn[.]com Cherbourg, Lille
fashneticmadi[.]com Avignon, Toulouse
coryactivate[.]com Lille
splashdowndrone[.]com La Réunion
iorouteinfo[.]com Rouen
empilhador[.]com Nantes
barceloferenzen[.]info Caen
bitcoinfren[.]com Bretagne

Pour approfondir sur Menaces, Ransomwares, DDoS