Sur Airbnb, des escrocs simulent des problèmes techniques et évoquent des frais plus élevés pour inciter les utilisateurs à se rendre sur un faux site web de Tripadvisor et leur voler leur argent.
Le monde du commerce en ligne, en constante évolution, offre des opportunités, mais aussi des dangers. Une découverte récente des chercheurs de Malwarebytes met en lumière une arnaque ingénieuse ciblant les utilisateurs d'Airbnb. Des escrocs se faisant passer pour des propriétaires d'appartements exploitent des problèmes techniques simulés et des frais imaginaires pour attirer les utilisateurs vers de faux sites de réservation sur Tripadvisor.
Au bon endroit, au bon moment pour flairer l'arnaque
Tout commence après l'utilisation d'un compte Airbnb redirigé vers une fausse version de TripAdvisor. Par chance, le compte appartenait à un employé de Malwarebytes qui a eu vent de ce qui se passait.
Le prétendu propriétaire de l'appartement a alors tenté de le rediriger vers ce qu'il prétendait être Tripadvisor, affirmant qu'Airbnb connaissait des problèmes et que les frais sur l'ancien site étaient moins élevés.
L'annonce était suffisamment convaincante : un appartement de luxe dans la ville, appartenant à Carla Taddei, était disponible pour 250 euros la nuit.
« Actuellement, nous rencontrons des difficultés techniques avec le système de calendrier d'Airbnb, nous avons donc décidé d'utiliser tripadvisor.com comme plateforme principale. Comme la plateforme Airbnb a des frais très élevés, j'ai choisi de n'utiliser que tripadvisor.com », peut-on lire dans ce mail.
Cependant, Malwarebytes BroswerGuard a rapidement averti l'employé de l'escroquerie et l'a averti de ne pas aller plus loin.
Pour ajouter à la crédibilité de l'escroquerie, la victime reçoit un autre courriel, apparemment de la plateforme Tripadvisor, qui l'incite à terminer la réservation en suivant les URL raccourcies dans le premier courriel.
« Le propriétaire a envoyé un courriel de suivi, indiquant que la demande de réservation avait été envoyée et insistant sur le fait que [le client] devait payer et envoyer une confirmation avant que la réservation puisse être validée », expliquent les chercheurs de Malwarebytes.
Malheureusement, ces liens pointent vers un faux site web de Tripadvisor qui demande à la victime de s'inscrire et d'entrer les détails de sa carte de paiement.
« Des recherches plus approfondies basées sur l'URL du faux site web de Tripadvisor nous ont montré que ces escrocs sont probablement actifs depuis un certain temps », ont-ils poursuivi, soulignant qu'ils ont trouvé 220 sites web liés à cette escroquerie.
Le phénomène ne se limite pas à Airbnb : Malwarebytes pense avoir détecté 220 sites web utilisés pour la même escroquerie, dont 26 qui prétendent être Tripadvisor et 194 qui prétendent être des comptes Tripadvisor approuvés.
Les clients à la recherche d'une chambre d'hôtel risquent également de se faire voler les informations relatives à leur carte de paiement : dans une escroquerie récemment documentée, les criminels choisissent de compromettre les comptes Booking.com des hôtels et de contacter les victimes potentielles par ce biais.
Airbnb et les arnaques, une vieille histoire
Airbnb met en garde contre les dangers des activités hors plateforme et des paiements hors de son site. Hélas, le plus populaire des sites de locations saisonnières est coutumier du fait. On ne compte plus les arnaques dont ses clients ont été victimes.
L'entreprise explique également comment les utilisateurs peuvent identifier les courriels et les sites web qui usurpent l'identité d'Airbnb, et fournit une liste utile des domaines officiels d'Airbnb.
« Les escrocs essaient toujours de créer un sentiment d'urgence afin que vous cliquiez avant de réfléchir », ajoutent quant à eux les chercheurs de Malwarebytes. « Ne vous précipitez pas pour prendre une décision. Vérifiez à nouveau le site web avant de saisir des informations personnelles ou financières », préviennent-ils.
Sur son blog, l'une des recommandations d'Airbnb est de ne pas effectuer de réservation en dehors de la plateforme, ce qui inclut également la communication, le partage d'informations personnelles, le paiement ou la demande de paiement pour une réservation. Les paiements hors site ne sont autorisés que s'ils ont été approuvés à l'avance et si les hôtes en ont été informés avant la réservation.
Source : Helpnet Security, Malwarebytes, Airbnb