Transports en commun : une arnaque internationale à la carte illimitée

Des publications alléchantes sur les réseaux sociaux

Tout part d’une publication, parfois sponsorisée, sur les réseaux sociaux, notamment X et Facebook. Là, c’est une publication sur une page dédiée qui abrite l’appât : « Obtenez une carte de transport pour voyager gratuitement pendant six mois ! », assure le message. 

Ce dernier est localisé et vise spécifiquement une commune, un département ou encore une région. Nous en avons relevé une vingtaine, actives, pour la France et une dizaine de plus actuellement inactives. 

Les liens renvoient vers le piège. Mais pas tout le monde : un filtrage semble se faire sur la base de l’adresse IP de l’internaute. Si celle-ci ne correspond au public visé, le lien renvoie, notamment, vers une page Wikipédia ; celle du service de transports en commun dont les usagers sont visés.

Pour La Réunion et La Martinique, nous avons réussi à accéder aux pages frauduleuses. La méthode est classique : une fausse loterie où le précieux sésame est gagné dès la seconde tentative. 

Mais pour l’obtenir, il faut saisir ses données personnelles, jusqu’à son adresse postale, e-mail et numéro de téléphone. C’est la première étape, car la carte promise n’est pas gratuite : elle est annoncée à un euro, parfois un peu plus. Le titre de la page Web annonce d’ailleurs systématiquement 2,35 € dans les cas que nous avons pu consulter.

Le code source de ces pages Web fait ressortir une campagne en plusieurs langues : anglais, français, allemand, espagnol, et slovaque. De fait, la campagne observée là ne se limite pas à la France.

Espagne, Pologne, Royaume-Uni, Italie…

La grande majorité des noms de domaine utilisés dans cette campagne pour la France renvoie à une adresse IP (95.213.173[.]17) gérée par le Russe Selectel et annoncée par son système autonome 49505. Les services exposés par l’hôte en question suggèrent plus un serveur privé virtuel qu’un hébergement Web mutualisé. 

Le nombre de résolutions associées à cette adresse IP et connues de RiskIQ n’en est pas moins impressionnant. Mais l’historique de parcours de pages Web liées à cette adresse, et connu d’URLScan.io l’est encore plus.

Il jette un nouvel éclairage sur cette campagne, montrant qu’elle est loin d’être limitée à la France. Ainsi, le 9 juillet, cette même campagne visait les usagers des transports en commun de la région de Venise en Italie. Fin juin, c’était Édimbourg en Écosse. On trouve d’ailleurs toujours une page Facebook susceptible d’y avoir été liée.

À la même période, les usagers de Gijón, en Espagne, étaient également visés. Un mois plus tôt, ceux de Barcelone les avaient précédés, ainsi que ceux d’Alicante. Début avril, les usagers des transports en commun de Valence étaient pris pour cible.

Ceux de Wroclaw, en Pologne, n’ont pas été oubliés, ni même ceux de Gdansk, voire même ceux d’Istamboul, d’Antalya et d’Izmir, en Turquie, début mars. À cette même période, la campagne a également visé les résidents de Galice, avec une fausse opération aux couleurs de la banque Abanca.

Fin février, les habitants de Wellington, en Nouvelle-Zélande, faisaient l’objet d’une campagne aux couleurs de l’opérateur Snapper. Quelques jours plus tôt, les Espagnols étaient visés par une opération tout aussi mensongère, mais s’appuyant cette fois sur une carte cadeau pour les supermarchés du pays. Tandis que les Britanniques de Manchester étaient appâtés par une offre de carte de transport pour le réseau Bee.

Une campagne appelée à venir et revenir en vagues

Le code source des pages associées à cette campagne suggère que les données collectées sont ensuite transmises à un serveur dans l’environnement de cloud public de Google. Le nom de domaine associé (mwn0dftrk[.]com) apparaît généré par algorithme et a été déposé tout début avril.

L’unicité de construction des pages Web associées à cette campagne ainsi que les éléments d’infrastructure observés suggèrent plus qu’une activité épisodique : si les cibles varient dans le temps, il apparaît vraisemblable que des opérations liées à cette campagne émergent puis disparaissent régulièrement par vagues régulières. Et cela d’autant plus que des pages Facebook vraisemblablement liées à cette campagne existent, mais sont pour l’heure inactives, pour Perpignan, Poitiers, Saint-Quentin, Limoges, Dijon, Le Mans, Avignon, Chambéry, ou encore Reims.