Des arnaques liées à la nouvelle campagne de remboursement du Passe Navigo circulent dans les boites mail. Les cybercriminels usurpent Île-de-France Mobilités pour voler des données bancaires.

Les cybercriminels n’allaient pas rater la nouvelle campagne de remboursement du Passe Navigo. Un mail d’arnaque reçu par la rédaction ce 3 juillet usurpe Île-de-France Mobilités avant l’ouverture d’un dédommagement pour les abonnés touchés par les grèves.

Le courriel reprend entièrement l’esthétique de la compagnie et ajoute même des recommandations imagées, précédemment utilisées par la RATP pendant les périodes de manifestations. Le message indique que la campagne de remboursement du Passe Navigo est ouverte depuis ce 3 juillet et invite l’internaute à se rendre sur la plateforme en lien pour obtenir le remboursement.

Le mail d'arnaque reçu par Numerama. // Source : Numerama
Le mail d’arnaque reçu par Numerama. // Source : Numerama

L’utilisateur sera ensuite redirigé vers un site clone d’Île-de-France Mobilités. Ses identifiants lui seront d’abord demandés. On peut taper n’importe mail et mot de passe, la plateforme vous enverra sur une autre page où l’on vous demandera vos coordonnées – nom, adresse, numéro – et, sans surprise, votre numéro de carte bancaire.

La fameuse dernière page demandant les infos bancaires, un classique du phishing. // Source : Numerama
La fameuse dernière page demandant les infos bancaires, un classique du phishing. // Source : Numerama

Un site de phishing bien dissimulé

Le mail d’arnaque a été envoyé par une adresse mail légitime, probablement piratée, d’un entrepreneur brésilien. « Boromir », un expert en cyber qui préfère rester anonyme, a analysé le site et indique le nom de domaine « www.iledefrance-mobilites.fr » a été déposé ce 3 juillet. Le site est hébergé en Russie sur un serveur déjà utilisé pour d’autres arnaques.

Les cybercrimels ont tenté de dissimuler leur page malveillante puisqu’ils ont utilisé du « punycode ». « Cette technique permet d’intégrer des caractères spéciaux dans l’URL, par exemple orange.fr devient οrαngε.fr. L’URL ressemble à orange.fr, mais ne renvoie pas au même endroit car en punycode, cela correspond à xn--rng-oxcw9c.fr. Cela permettra de faire apparaitre « οrαngε.fr » dans le mail de phishing pour faire croire que cela va rediriger l’utilisateur sur le site web officiel. Cela sert à tromper les victimes et à éviter d’être détecté par les solutions de cybersécurité », nous explique Boromir.

Le site est déjà considéré comme malveillant par Google, mais d’autres seront rapidement créés par les cybercriminels.

Où demander son dédommagement Navigo ?

Avant de cliquer sur un prétendu mail de la RATP, vérifiez l’adresse de l’expéditeur. L’agence vous contactera normalement par « [email protected] » ou « [email protected] ». Il est conseillé également de se rendre directement sur le site www.iledefrance-mobilites.fr pour avoir des informations. Une page a d’ailleurs été mise en ligne par Île-de-France Mobilités sur la prochaine campagne de dédommagement qui débute le 5 juillet et non le 3 comme le prétendent les cybercriminels.

Le futur de Numerama arrive bientôt ! Mais avant ça, on a besoin de vous. Vous avez 3 minutes ? Répondez à notre enquête