Cyber-escroquerie

Update: Les arnaques via Booking.com touchent aussi la Suisse

Une vague de cyberattaques et de cyber-escroqueries touche des hôtels et leurs clients via la plateforme Booking.com. Il se trouve qu’il y a quelques jours, j’ai moi-même été visé par ces arnaques. Update: un premier cas touchant un hôtel suisse a été signalé au NCSC.

(Photo: Rodolphe Koller)
(Photo: Rodolphe Koller)

Mise à jour du 1er février 2023. Dans son rapport hebdomadaire du 31 janvier, le NCSC relève un premier cas d’arnaque via Booking.com ayant touché le client d’un hôtel suisse. Le mode opératoire est le même que celui qui sévit actuellement en France et dont j’ai moi-même été victime après une réservation d’hôtel en Italie (voir news du 17 janvier ci-dessous). 
Selon le récit du NCSC, les escrocs ont ainsi contacté le client d’un hôtel bernois via WhatsApp en se faisant passer pour le réceptionniste de l’établissement et lui ont réclamé un numéro de carte de crédit. Comme dans mon cas, les cybercriminels connaissaient les détails de la réservation effectuée via Booking.com, ce qui laisse supposer un piratage des accès de l’hôtel à la plateforme. 
Selon les experts du NCSC, les pirates exploiteraient le malware Redline Stealer pour dérober les informations d’accès des hôtels. «Pour l’installer, les cybercriminels se font passer pour des clients qui souhaitent connaître l’emplacement de l’établissement ou annuler une réservation. Ils convainquent ensuite le personnel de l’hôtel de cliquer sur le fichier malveillant. Les pirates obtiennent ainsi l’accès à différents comptes de l’hôtel et peuvent commettre d’autres escroqueries», explique la note hebdomadaire du NCSC.

News originale du 17 janvier 2023. Des hackers usurpent l’identité d’hôteliers via Booking.com (j’en ai fait l’expérience). Depuis plusieurs mois, de nombreux hôtels et leurs clients sont victimes de piratage via la plateforme Booking.com. Selon l’un des scénarios décrits par le syndicat français des hôteliers indépendants GNI-HCR, les hackers commencent par s’en prendre aux hôtels via des messages de phishing grâce auxquels ils installent un malware et mettent la main sur les données d’accès des établissements à la plateforme Booking.com. Après quoi, les pirates peuvent modifier les informations de l’hôtel (nom, tarifs, etc.), mais aussi accéder aux réservations et communiquer directement avec les clients pour les escroquer, en se faisant passer pour l’établissement. 
«Nous avons été informés que des partenaires d’hébergement ont été ciblés par des e-mails malveillants. Les comptes concernés ont rapidement été verrouillés par Booking.com et nos équipes accompagnent ces partenaires d’hébergement afin de s’assurer qu’ils puissent rouvrir leurs réservations sur notre plateforme en toute sécurité et dans les meilleurs délais. Tous les voyageurs potentiellement concernés ont été informés», explique Booking.com, selon les propos relatés sur le site presse-citron.net

(Mise à jour à 17:41). Contactée par la rédaction, l'association HotellerieSuisse indique qu'elle n'a pas encore connaissance de cas en Suisse et qu'elle surveille la situation. Suite à notre message, l'association a par ailleurs contacté le Centre national pour la cybersécurité (NCSC), qui n'a pas non plus connaissance de cas en Suisse. HotellerieSuisse souligne qu'elle sensibilise régulièrement ses membres à la cybersécurité, notamment via son site web.

Expérience personnelle...

Il se trouve que je fais partie des clients ayant été visés par ces arnaques. Début janvier, je suis allé en Italie où j’avais réservé un hôtel via la plateforme Booking.com. Moins d’une semaine avant mon séjour, le 28 décembre à 16h47, je reçois un message WhatsApp de l’hôtel m’indiquant que je dois effectuer un pré-paiement pour confirmer ma réservation, car l’hôtel effectue un enregistrement à distance:

step 1I

Je réponds OK, j’ouvre l’app booking et je vois que ma réservation est confirmée sans autre indication. Je décide donc de ne rien faire.

A 19h30, je reçois cette fois un SMS provenant de Booking.com. L’origine est bien correcte: j’ai déjà reçu par le passé d’autres messages de la plateforme provenant de ce même contact. La communication est cette fois plus urgente: il m’indique un lien pour payer ma réservation, sans quoi elle sera annulée:

step 2

Je m’agace un peu, je pense que l’hôtel a pris des réservations à double, et qu’il essaie maintenant d’annuler la mienne, sous prétexte d’un pré-paiement manquant. A nouveau, j’ouvre l’app Booking, je vois que ma réservation est toujours confirmée. 

Au sein de cette même app, je reçois 20 minutes plus tard un message de l’hôtel indiquant que je dois effectuer un pré-paiement, qui plus est via PayPal:

step 3

Cette fois, je suis alerté. Je retourne au SMS et constate que l’URL indiquée n’est pas booking.com, mais booking-com. Je comprends que je suis sans doute victime d’une tentative d’escroquerie. Je décide d’appeler directement l’hôtel qui me confirme que leur compte Booking.com a été piraté et que je ne dois en aucun cas effectuer de pré-paiement. 

Ce n’est que le lendemain à 12:30 que je reçois un nouveau message de l’hôtel via l’app m’indiquant que leur compte a été piraté:

step 4

Je ne remarquerai que plus tard d’autres indices qui auraient pu m’alerter: Le premier message que j’ai reçu soi-disant de l’hôtel avait un indicatif en Roumanie, et non en Italie. Autre indice, le deuxième message provenant cette fois de Booking était en anglais alors que les précédents étaient en français.

Qu’est-ce que j’ai appris?

  • Les pirates sont ingénieux et peuvent multiplier les canaux pour donner de la crédibilité à leurs messages. 
  • Il faut être attentifs aux détails des messages (origine, langue), et se méfier aussi de messages provenant de contacts ou canaux légitimes qui peuvent avoir été piratés. Les moyens de paiement peu traçables (PayPal, bitcoins) sont des signaux d’alerte.
  • En cas de doute, contacter directement l’émetteur par un autre canal connu (dans mon cas le téléphone) peut s’avérer utile.
  • Les hôtels ne protègent peut-être pas assez bien leurs identifiants Booking.com. 
  • Les organisations hackées ne sont pas toujours réactives. Il aura fallu attendre de nombreuses heures pour que mon hôtel me communique pro-activement le problème, dont ils avaient pourtant connaissance puisqu’ils m’ont confirmé le vol des identifiants au téléphone.
  • Une bonne nouvelle: les hôtels ne semblent pas avoir accès aux moyens de paiement enregistrés sur Booking.com, sans quoi les pirates n’auraient pas eu besoin de tous ces stratagèmes.

Enfin, pour terminer, voici le mail que j’ai reçu aujourd’hui 17 janvier de Booking.com, soit trois semaines après avoir été ciblé:

step 5

 

Webcode
A9Arv3Zv