Escroquerie Airbnb : le calvaire des faux listings !

Arnaques InternetEscroqueriePhishingSCAM

Des vacanciers ont été victimes d’une escroquerie Airbnb, par le biais de faux listings et de paiement réalisés hors de la plateforme, des mesures de sécurité sont mises en place par Airbnb, mais quelle est la réelle efficacité ?

escroquerie airbnb

Voici une nouvelle escroquerie Airbnb, directement depuis la douce ville balnéaire d’Espérance en Australie occidentale :

Comme l’a dit ABC News, le week-end dernier, une famille de “gens très gentils”, également connus comme étant de parfaits étrangers, est apparue sur le pas de la porte de Carmel Creed.

J’ai ouvert la porte, et des gens très gentils étaient là en me demandant : “est-ce que c’est bien là le B&B ? “. 

Et j’ai répondu : “Je pense que vous avez la mauvaise adresse”.  

Oh, non, ce n’est pas possible : ils avaient en leur possession tous les papiers de réservation. Ils les ont montrés à Mme Creed, qui n’a pourtant jamais répertorié son logement sur Airbnb. Mais c’était tout de même le cas : une vue extérieure de sa maison, plus une autre photo qui semblait plus périphérique.

Il n’a pas fallu longtemps pour réaliser qu’il s’agissait d’une escroquerie sur internet : il s’agissait d’un faux listing, et ces gens plutôt sympas, qui avaient conduit 4 heures pour se rendre sur leur lieu de vacances, avaient été bel été bien piégés.

Nous étions debout là-bas, ne sachant pas vraiment quoi faire.  

Gênant, non !

Airbnb a remboursé la famille et a retiré de façon permanente la fausse location de la plateforme, a déclaré un porte-parole à ABC News. Ils ont déclaré qu’il y avait plus de 180 millions d’arrivées de clients sur Airbnb, et des mauvaises expériences comme celle-ci sont “extrêmement rares”.

Et bien, peut-être, mais cette escroquerie Airbnb ressemble fort à beaucoup d’autres que nous avons vues. Par exemple, ces vacanciers qui avaient réservé un appartement à Barcelone avec Airbnb. L’appartement s’est avéré être bidon, tout comme la maison à Espérance en Australie occidentale.

Bien qu’Airbnb ait promis d’enquêter et d’enlever le faux listing, la victime de cette escroquerie Airbnb à Barcelone a trouvé un article qui mentionnait, une semaine avant leur tentative de réservation, que le même appartement avait été utilisé pour arnaquer un autre client. Pour enfoncer encore un peu plus le couteau dans la plaie, ce même appartement est apparu de nouveau, 24 heures après qu’Airbnb l’ait retiré, il est resté visible pendant encore 48 heures.

En d’autres termes, l’appartement était une escroquerie Airbnb connue, mais d’une certaine façon, Airbnb ne pouvait empêcher les fraudeurs de réinscrire le même logement, et ce à plusieurs reprises.

Sophos Home

Comment Airbnb tente de lutter contre ces arnaques ?

Airbnb dit que son équipe “Trust and Safety” travaille “jour et nuit” pour aider à protéger les clients et les hôtes vis-à-vis de fraudeurs qui tentent d’abuser de la plateforme. Il dispose d’un système de détection des risques en temps réel, qui utilise l’apprentissage machine pour détecter et arrêter une potentielle escroquerie Airbnb avant qu’elle n’affecte ses utilisateurs, du moins en théorie.

Mais avec l’IA ou sans, avec une détection en temps réel ou non, les escroqueries ne semblent pas être en train de faire leurs valises pour le moment. Les fraudeurs ont trouvé qu’il s’agissait d’une merveilleuse plateforme à visiter. De retour en 2015, juste au moment où Eric Levine, Manager Engineer chez Airbnb, parlait de la détection de la fraude par l’apprentissage machine, Matt Novak de Gizmodo avait soumis une demande “Freedom of Information Act” à la Federal Trade Commission (FTC), afin de savoir si d’éventuelles plaintes avaient été déposées auprès de la FTC concernant Airbnb.

Gizmodo a supprimé quelques noms, des informations de contact et autres données bancaires, et a publié 22 récits d’escroqueries. Le dénominateur commun de la plupart de ces arnaques sur internet était que les victimes avaient été invitées à sortir du site pour transférer des fonds vers des tierces personnes qui se présentaient comme les propriétaires. Certaines victimes ont perdu des milliers de dollars.

Comment cela a été possible, compte tenu du zèle d’Airbnb, de la saisie automatique des adresses e-mail, des adresses physiques et des numéros de téléphone par Airbnb, qui ne peuvent pas être partagés avant qu’une réservation ne soit faite et qu’un numéro de carte de crédit soit intégré au système de l’entreprise ?

Les fraudeurs ont néanmoins trouvé un moyen. L’un est d’ajouter un email à une photo de logement et d’inciter les gens à les contacter directement, pour obtenir de meilleures conditions tarifaires. Vous pouvez voir quelques exemples de cette escroquerie Airbnb sur AirbnbHELL, un site qui rassemble ce qu’il prétend être des histoires non censurées d’hôtes et de clients.

escroquerie airbnb

escroquerie airbnb

L’annonce Airbnb a déclaré clairement : “Contactez-moi par email… puisque Airbnb est trop lent”. Bien sûr… l’application n’a pas fonctionné et j’ai essayé de les contacter. Ensuite, après leur avoir envoyé un email… tout se déroule comme prévu. Les fraudeurs m’ont demandé quelques détails bidons… puis m’ont incité à transférer de l’argent en urgence… voici donc l’histoire. Quand j’ai essayé de voir mon appartement après avoir envoyé l’argent, l’annonce et l’utilisateur avaient disparu. La banque a été contactée… mais aucune aide possible à ce niveau-là. La police aussi… mais aucune aide ici non plus. Airbnb… bien sûr… “voyons… nous allons le signaler…”… et je pense que c’était à peu près leur réponse.

Dans d’autres cas, les fraudeurs sur Airbnb mettent en place des sites d’hameçonnage classiques. Comme Sarah Ruiz-Grossman et son fiancé l’ont découvert à leur dépend, les sites peuvent être presque identiques à la vraie plateforme Airbnb, comme suit :

escroquerie airbnb

Ils ont été incités à se rendre sur le site de phishing ci-dessus, après avoir commis l’erreur classique de contacter un hébergeur bidon en lui envoyant un email directement depuis la plateforme Airbnb. On leur avait dit quand ils ont fait la première demande d’appartement, qu’il n’y avait pas de possibilité pour loger les invités de votre mariage. Mais nous avons d’autres appartements de trois pièces (censés être inscrits sur Airbnb), voici les liens !

Le couple a suivi les instructions envoyées par l’hôte fraudeur, en transférant un total de 3 800 $ pour réserver deux appartements. Au revoir argent chéri !

Il y a eu également au moins une campagne de phishing par email qui a imité le site de l’entreprise et a redirigé les utilisateurs vers une fausse page de connexion Airbnb, qui tentait de voler les informations d’identification des utilisateurs Airbnb.

escroquerie airbnb

Les autres outils de sécurité d’Airbnb incluent une fonctionnalité d’identification sécurisée (Verified ID). L’ID vérifiée sert à relier les identités en ligne des utilisateurs, à de vraies personnes hors ligne, et ce en utilisant des informations telles que leur profil Facebook, leur numéro de téléphone, leur adresse électronique ou leur carte d’identité.

… qui peuvent tous être faux d’ailleurs. Prenez, par exemple, les identifiants Facebook : en 2014, Facebook a estimé qu’au moins 67 millions de comptes étaient faux.

… ce qui nous amène à la question “quoi de neuf ici ?” concernant l’arsenal d’Airbnb pour lutter contre la fraude sur internet. Lorsque ABC a contacté Airbnb au sujet de cette escroquerie Airbnb à Esperance, il a déclaré qu’il avait récemment introduit de nouvelles technologies de détection de fraude, qui incluaient l’analyse comportementale en ligne et la détection en temps réel, s’appuyant sur l’apprentissage machine et les analyses prédictives.

… ce qui ressemble à peu près à ce qu’il utilisait en 2015. Ainsi, quelle est le “nouvel” élément dans l’équation ? J’ai contacté Airbnb pour plus de détails et je mettrai à jour l’article en cas de réponse.

Mais quelles que soient les nouvelles technologies adoptées, les escroqueries sur internet continuent d’être bien présentes. Bien sûr, nous ne pouvons pas empêcher Airbnb de s’insurger contre les gens qui se font avoir en transférant de l’argent hors de la plateforme, ce qu’ils font de façon persistante, et ce quelle que soit la force avec laquelle Airbnb essaie d’avertir ses clients à ce sujet.

Mais il existe d’autres points d’interrogation sur la détection de fraude d’Airbnb. Par exemple, à propos de cette fonctionnalité d’identification vérifiée : quelques mois en arrière seulement, en avril, le groupe de consommateurs britannique Which? a décidé de tester l’efficacité de la fonction de détection d’un faux compte configuré délibérément pour arnaquer les internautes.

Which? a mis en place de faux listings sur Airbnb, Holiday Lettings et Home Away, tous sans la moindre preuve d’identité, a-t-il déclaré (HomeAway a été le seul à exiger une pièce d’identité avec photo, bien qu’il ait répondu à Which? “par téléphone” que cette exigence n’était plus nécessaire si une souscription annuelle de £478 était acquittée). Pour résumer, Verified ID ? Non ! sérieusement !

Pour configurer nos faux listings, nous avons seulement eu besoin d’un téléphone classique avec une carte prépayée, de photos d’appartement et des adresses électroniques que nous avons configurées en moins de cinq minutes.  

Malgré le fait qu’Airbnb demande aux vacanciers de scanner leur passeport ou une autre pièce d’identité avec photo, ainsi qu’un lien vers un compte de réseaux sociaux, avant de pouvoir réserver un appartement sur le site, à aucun moment on nous a demandé de prouver notre identité avant de mettre un appartement en ligne au sein du listing.  

Alors, Which? a fait un nouveau pied de nez à Airbnb et à ses règles, en fournissant un email de contact dans la liste. L’adresse a été supprimée… mais pas pour longtemps. Le groupe de consommateurs a ajouté de nouveau l’e-mail, et apparemment sans qu’Airbnb s’en aperçoive !

Nous avons trouvé qu’il était facile d’inclure un email dissimulé dans la description de l’appartement ou incorporé dans une photo.  

Quels sont les critères pour qu’une fausse annonce soit supprimée ? Eh bien, elle pourrait s’auto-proclamer comme fausse ! Which? a utilisé le mécanisme de signalement d’Airbnb pour faire exactement cela. Et cela a fonctionné … finalement. Mais la fausse annonce a été active pendant 13 jours. Pendant ces deux semaines un véritable fraudeur aurait pu arnaquer un certain nombre de personnes !

Voilà comment Airbnb a répondu à l’enquête de Which? :

Airbnb a nié qu’il existait des “milliers” de faux listings sur son site web, mais ne s’engagera pas sur une estimation précise. Il nous a également dit : “Nous examinons les résultats de l’enquête Which ?, car nous cherchons constamment des moyens de devancer les fraudeurs. La chose la plus importante à savoir est que, tant que vous restez sur la plateforme airbnb.com et que vous envoyez de l’argent via Airbnb, vous serez protégés. Nous recherchons des moyens de fournir des avertissements supplémentaires au sujet de ces arnaques, et une manière simple pour que les utilisateurs puissent nous contacter directement par téléphone”.


Billet inspiré de Airbnb – the heartache of fake holiday scams, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.