Les arnaques sur le Net ne cessent de se multiplier. Aucun site ne semble y échapper, pas même Booking, une plateforme qui permet de réserver un hôtel en ligne.
Arnaque : gare aux fausses annonces sur Booking !
Par
Modifié le 4 décembre 2023 à 12h55
61 % Les attaques de phishing ont augmenté de 61 % en l'espace d'un an.
Une prolifération d'attaque de phishing sur Booking
Les pirates informatiques ont récemment ciblé les utilisateurs de Booking.com, exploitant la confiance des clients dans cette plateforme, numéro 1 de réservation d'hôtel en ligne. Selon un rapport de SecureWorks, les attaques se multiplient, en particulier pendant les périodes de vacances. Les pirates utilisent des techniques sophistiquées pour accéder aux tableaux de bord des hôteliers sur Booking, leur permettant de consulter les réservations et les informations personnelles des clients. Ces informations sont ensuite utilisées pour envoyer des e-mails frauduleux aux clients, souvent sous prétexte de problèmes de paiement, dans le but de siphonner leurs comptes bancaires.
Un autre aspect inquiétant de cette tendance est la vente des identifiants d'établissements sur des forums spécialisés, avec des prix variant de 30 à 5 000 dollars. Ce n'est donc pas la plateforme en elle-même qui est visée par ses attaques, mais plutôt les établissements qui ont des failles sécuritaires dans leur système de réservation en ligne.
Le manque de préparation des établissements
Les pirates emploient des méthodes de plus en plus sophistiquées pour tromper leurs victimes. Un exemple typique est l'envoi d'un premier e-mail inoffensif pour gagner la confiance de l'établissement, suivi d'un lien malveillant sur Google Drive. Ce lien conduit au téléchargement d'un logiciel malveillant qui vole les identifiants de connexion de l'établissement. Les pirates contactent ensuite les clients, prétextant un problème de paiement pour obtenir des informations bancaires.
Pour se prémunir contre ces arnaques, les établissements doivent utiliser des mesures de sécurité renforcées, telles que l'authentification à double facteur. Les clients, quant à eux, doivent être vigilants face aux e-mails suspects, en particulier ceux demandant des informations bancaires ou signalant des problèmes de paiement. Il est conseillé de vérifier directement auprès de l'hôtel en cas de doute.
L'enjeu du phishing pour les entreprises
En 2023, les attaques de phishing ont battu tous les records. Le nombre d'attaques de phishing est passé de 482,2 millions au premier semestre de 2022 à 743 millions pour celui de 2023. Les entreprises et les organismes caritatifs sont particulièrement visés, avec 83 % d'entre eux ayant été victimes d'attaques de phishing. Ce qui est encore plus inquiétant, c'est que les méthodes de phishing évoluent à une vitesse vertigineuse, parvenant souvent à contourner les systèmes de protection. Le quishing est un exemple concret de cette évolution, une technique d'hameçonnage qui intègre des QR Code malveillants dans les e-mails ou les dissimule dans notre vie quotidienne, comme sur un faux PV, par exemple.
Face à ces menaces grandissantes, il devient essentiel d'éduquer aussi bien les employés que les clients sur les signaux d'alerte des e-mails de phishing. Une approche proactive de la sécurisation des données est indispensable. Les entreprises doivent sérieusement envisager des solutions comme uPhish, qui permettent de simuler des attaques de phishing pour évaluer la vulnérabilité des employés et déterminer la formation nécessaire pour renforcer la sécurité.
De son côté, Booking a réagit à la polémique naissante :
"Nous savons que certains partenaires d'hébergement ainsi que des clients ont été affectés par des escroqueries par hameçonnage. Il ne s'agit pas d'une brèche des systèmes de Booking.com, mais d'une fraude coordonnée à l'encontre des clients et des partenaires, ciblés par des e-mails d'hameçonnage. Les escrocs, alors en mesure d'obtenir les adresses électroniques et les numéros de téléphone portable des clients, peuvent ensuite leur demander de communiquer les détails de leur carte de crédit pour effectuer des paiements frauduleux.
En tant qu'entreprise de voyage responsable, nous sommes conscients des conséquences de telles escroqueries par des tiers malveillants pour notre entreprise, nos partenaires d'hébergement et nos clients. Nous révisons et renforçons constamment nos propres contrôles de sécurité, nous offrons des conseils et des formations à nos partenaires d'hébergement et nous rappelons régulièrement à nos clients qu'ils ne doivent jamais partager leurs données personnelles avec nos partenaires d'hébergement - qui ne leur demanderaient jamais ces informations via Whatsapp - et qu'ils doivent privilégier les paiements via notre plateforme, qui propose un processus de paiement guidé et sécurisé.
Au regard des millions de réservations que nous facilitons chaque semaine, de tels cas restent heureusement très rares. Néanmoins, nous prenons chaque cas très au sérieux et, afin de nous conformer à nos obligations réglementaires, nous enquêtons sur chaque incident et fournissons régulièrement des mises à jour sur ces fraudes aux autorités.
En règle générale, aucune transaction légitime n'exige d'un client qu'il fournisse les détails de sa carte de crédit par téléphone, par SMS ou par courrier électronique. Si un voyageur a des doutes sur un message de paiement reçu, nous l'encourageons à vérifier la politique de paiement de l'hébergement, disponible sur la page d'annonce de l'hébergement, ou à nous contacter directement. Notre service client est disponible 24 heures sur 24 et 7 jours sur 7."
Suivez-nous sur Google News
Economie Matin - Soutenez-nous en nous ajoutant à vos favoris Google Actualités.