Si vous avez réservé un hôtel via une plateforme comme Booking.com ou Expedia, méfiez-vous de toute communication vous invitant à confirmer vos informations de paiement pour conserver votre réservation. Les acteurs malveillants ciblent le secteur hôtelier avec une campagne de phishing conçue pour voler les voyageurs.
Comme l’a souligné la société de sécurité Sekoia.io et rapporté par The Hacker News, le stratagème est appelé « J’ai payé deux fois » car les clients de l’hôtel sont finalement amenés à fournir leurs informations bancaires. Les fraudeurs contactent les clients via WhatsApp ou par e-mail au sujet de leur réservation, en leur disant qu’ils doivent vérifier leur paiement sous peine d’annulation. Le lien mène à une fausse page de destination qui ressemble à Booking.com ou Expedia, où les victimes sont invitées à fournir les informations de leur carte.
Ce n’est pas la première arnaque visant Booking.com : des fraudeurs ont déjà usurpé le site pour propager des logiciels malveillants directement aux utilisateurs via de faux CAPTCHA et des attaques d’homographes, qui exploitent des caractères similaires dans l’URL pour rediriger vers un site Web malveillant.
Comment fonctionne l’arnaque ClickFix de Booking.com
Cette campagne en plusieurs étapes commence en fait lorsque les pirates ciblent les hôtels eux-mêmes avec des attaques ClickFix, un type d’attaque d’ingénierie sociale conçue pour inciter les utilisateurs à télécharger des logiciels malveillants via de faux messages d’erreur ou des formulaires CAPTCHA. (J’ai couvert une poignée de programmes ClickFix, tels que ceux diffusés via des vidéos pédagogiques générées par l’IA sur TikTok et des liens d’invitation expirés sur Discord.)
L’arnaque se déroule comme suit : les directeurs d’hôtel reçoivent des e-mails provenant de comptes compromis contenant des liens de phishing qui redirigent vers une prétendue page reCAPTCHA. Il s’agit du composant ClickFix, car les cibles sont invitées à relever le défi pour « assurer la sécurité de votre connexion ». Quelques redirections conduisent l’utilisateur à copier et à exécuter une commande PowerShell qui télécharge un cheval de Troie d’accès à distance (comme PureRAT) sur son appareil.
Une fois le malware distribué, il permet aux acteurs malveillants d’accéder à distance, y compris le contrôle de la souris et du clavier, l’exfiltration de données, l’exécution de commandes, le chargement et le téléchargement de fichiers, l’enregistrement de frappe et la capture par webcam et microphone. Les pirates peuvent alors voler les informations d’identification de l’administrateur pour accéder aux plateformes de réservation et envoyer les e-mails de phishing susmentionnés aux clients de l’hôtel, ou vendre ces informations à d’autres cybercriminels.
Ne tombez pas dans le piège de l’arnaque à la réservation d’hôtel
Vous ne pouvez pas contrôler si un directeur d’hôtel donne involontairement accès à vos informations de réservation. Mais vous pouvez éviter de compromettre davantage vos données personnelles et financières en restant vigilant à toute communication inattendue concernant votre réservation. Un hôtel réputé ne vous contactera probablement pas via une plateforme de réservation (ni la plateforme elle-même) pour exiger le paiement du maintien d’une réservation que vous avez déjà confirmée.
Ce sentiment d’urgence est destiné à vous inciter à agir rapidement, donc si vous n’êtes pas sûr de ce qui se passe, appelez directement l’hôtel en utilisant le numéro figurant sur son site officiel (pas à partir de l’e-mail ou du message WhatsApp). Ne cliquez sur aucun lien et ne saisissez aucune information à moins d’avoir confirmé que vous êtes sur une plateforme de réservation légitime ou sur le site Web d’un hôtel.
