L’une des plus grandes agences de voyages en ligne au monde, Booking.com, est utilisée par des fraudeurs pour inciter les clients de l’hôtel à communiquer les détails de leur carte de paiement.
Comment puis-je savoir? Les fraudeurs ont essayé avec moi.
Je parle lors d’un événement à Londres en novembre et je devais réserver une chambre d’hôtel pour la nuit précédente. Normalement, je n’utilise pas Booking.com pour mes préparatifs de voyage, mais cette fois-ci, je l’ai fait – et j’ai failli tomber dans le piège d’une arnaque qui aurait pu voler les détails de ma carte de crédit.
La réservation en ligne s’est déroulée sans problème, comme on pouvait s’y attendre. Mais vendredi, deux semaines après avoir effectué la réservation initiale, j’ai reçu une notification de l’application pour smartphone Booking.com m’informant que j’avais un nouveau message de l’hôtel dans lequel je prévoyais de séjourner.
J’ai regardé dans l’application et, bien sûr, j’ai reçu un message de « l’hôtel », juste après un message légitime de l’hôtel. Il apparaît également sur la version site Web de Booking.com.
Bonjour! Cher Graham Cluley, nous avons le regret de vous informer que votre réservation peut être annulée car votre carte n’a pas été automatiquement vérifiée.
● Vous devrez revérifier la carte.
● Les fonds ne sont réservés que temporairement et seront entièrement remboursés dans les 10 minutes.● Important : La carte doit comporter le montant de la réservation pour vérification, vérifiez qu’il n’y a pas de restrictions sur les transactions en ligne sur la carte.
● Cela doit être fait dans les 12 heures sinon la réservation sera automatiquement annulée.
● Nous vous recommandons d’utiliser une Mastercard afin de confirmer.« Veuillez suivre le lien ci-dessous pour confirmer votre réservation »
https://booklng.com-id334112.com/p/965664712
Copiez le lien si vous ne pouvez pas cliquer dessus
Cordialement © Booking 2023 Équipe
Notez qu’il ne s’agissait pas de spam. Il s’agissait d’un message envoyé via le site Web/l’application Booking.com.
Voici à quoi cela ressemblait dans l’application pour smartphone Booking.com.
Le message m’informe que ma réservation pourrait être annulée en raison d’un problème de carte de crédit et me demande de visiter une URL pour reconfirmer les détails de ma carte de crédit.
En cliquant sur le lien, j’ai accédé à une page Web contenant les détails de ma réservation, mais qui se trouvait sur un domaine (com-id334112.com) qui avait été créé quelques heures plus tôt. Effectivement, il m’a demandé de saisir à nouveau les données de ma carte de paiement.
Après plus de 30 ans de travail dans le domaine de la cybersécurité, j’aime penser que je ne tomberais pas dans le piège d’une telle arnaque. Mais j’ai reçu la notification alors que j’étais à mi-chemin dans une allée de supermarché en train de chercher des aubergines. J’aurais très facilement pu cliquer sur le lien dans ma hâte pour m’assurer de ne pas perdre ma réservation d’hôtel.
Je peux facilement imaginer combien de clients de Booking.com craqueraient pour quelque chose comme ça, qu’ils recherchent ou non les ingrédients de la ratatouille.
J’ai fait ce qu’il fallait. Je suis rentré chez moi, j’ai préparé une ratatouille, puis j’ai cherché comment contacter l’équipe de sécurité de Booking.com.
Malheureusement, Booking.com n’a pas de Fichier « sécurité.txt » mis en place sur son site Web une liste des moyens de le contacter de manière responsable lorsqu’un problème de sécurité a été détecté, ce qui aurait rendu les choses plus simples.
Heureusement, des collègues de la communauté de la sécurité sur Mastodon, Twitter et d’autres sites ont pu m’orienter dans la bonne direction.
J’ai donc envoyé à l’équipe de sécurité de Booking.com un e-mail avec tous les détails de ce que j’avais vu, dans l’espoir qu’ils examineraient la situation et me répondraient.
Ils n’ont pas répondu à mon email.
Mais ce soir, j’ai (et je soupçonne d’autres clients de Booking.com) reçu l’e-mail suivant. Jetons un coup d’œil à ce qu’ils disent.
Certains de nos clients ont signalé un comportement potentiellement frauduleux, impliquant des personnes se faisant passer pour un représentant de Booking.com ou un propriétaire d’hôtel. Cela peut se produire via un e-mail ou des messages contenant un lien malveillant, vous demandant de confirmer la réservation et de payer en dehors de notre plateforme, ou via un site de phishing copié. Cela peut compromettre l’accès à votre appareil et à vos données personnelles.
D’accord, cela ressemble à ce que j’ai vécu.
Nous surveillons activement nos systèmes pour détecter les tentatives de fraude et les éventuelles failles de sécurité. Nous étudions rapidement les alertes et les rapports et prenons les mesures nécessaires pour vous protéger, ainsi que les autres clients et les hôtels sur notre site Web.
Eh bien, c’est bien – même si tu n’as pas réussi à me protéger à cette occasion. Je me suis protégé.
Pour garantir que vos informations personnelles restent sûres et sécurisées, nous aimerions vous informer de ce que vous pouvez faire de votre côté.
Super, écoutons vos suggestions.
– Ne partagez jamais vos informations de connexion (nom d’utilisateur, mot de passe, code PIN, code d’authentification à deux facteurs), vos informations personnelles ou financières par téléphone, par e-mail ou par messagerie instantanée. Booking.com ne vous demandera jamais de partager ces informations avec nous. Si quelqu’un – prétendant être un employé de Booking.com – vous demande vos informations de connexion, vos informations personnelles ou financières, ou demande un accès à distance à vos appareils, raccrochez et contactez notre équipe du service client. Nous vous conseillons fortement de changer immédiatement votre mot de passe de votre compte Booking.com sur notre site Internet.
Je n’ai partagé mon nom d’utilisateur, mon mot de passe ou aucune autre information avec qui que ce soit… autre qu’avec Booking.com lorsque je me connecte à Booking.com.
– Si vous avez utilisé votre mot de passe Booking.com pour accéder à d’autres services ou comptes en ligne, nous vous recommandons également de réinitialiser les mots de passe de ces comptes.
Je n’ai utilisé mon mot de passe Booking.com nulle part ailleurs. J’ai utilisé un mot de passe unique et fort.
Il est important d’utiliser un mot de passe unique pour chaque compte dont vous disposez.
Je suis d’accord.
– Vérifiez toujours soigneusement les adresses e-mail. Nous vous enverrons uniquement des e-mails à partir d’une adresse e-mail officielle de Booking.com se terminant par « @booking.com » ou « @partner.booking.com ».
Eh bien, le message que j’ai reçu provenait du site Booking.com lui-même (il est toujours là d’ailleurs) et via l’application Booking.com.
Mais maintenant que tu le dis, si je regarde dans mon email, je faire voyez que j’ai également reçu le message frauduleux par e-mail…
Oh, c’est embarrassant – cela vient d’une adresse e-mail @booking.com.
En fait, il contenait même un pixel de suivi de Booking.com afin que l’entreprise puisse savoir si j’ouvrais le message ! (Heureusement, mon client de messagerie met en garde contre de tels désagréments.)
Quoi qu’il en soit, revenons à l’e-mail d’avertissement de Booking.com.
Toute adresse e-mail utilisant d’autres variantes, telles que «[email protected]« , ne sont pas des adresses e-mail officielles de Booking.com. Pour en savoir plus sur la sécurité et la sensibilisation en ligne, consultez la section « Centre de ressources sur la sécurité » de notre site Web, que vous trouverez au bas de notre page d’accueil.
Bon conseil, mais dans mon cas, les messages sont arrivés via l’application et le site Internet de Booking.com. Et l’e-mail provenait de Booking.com.
– Accédez à votre compte uniquement via le site officiel de Booking.com à l’adresse www.booking.com
Oui, je l’ai fait.
ou l’application mobile.
Et cela.
Lorsque vous accédez à votre compte, vérifiez toujours une connexion sécurisée. Recherchez l’icône de verrouillage de sécurité dans la barre d’adresse ou assurez-vous que l’adresse commence par https://. Cela garantit que la page est gérée par Booking.com et qu’elle est authentique.
Hmm… Euh. Non, la présence de https et d’un cadenas dans votre navigateur ne confirme PAS « la page est gérée par Booking.com et est authentique ».
Si un lien d’e-mail ou de message vous dirige vers un site Web qui ressemble à Booking.com mais ne dispose pas d’une connexion sécurisée, quittez le site Web, ne saisissez aucune information de connexion et ne cliquez pas sur d’autres liens. Vous pouvez ajouter la page officielle Booking.com à vos favoris dans votre navigateur pour un accès rapide et sécurisé.
Si vous avez d’autres questions, veuillez répondre à ce message.
J’ai d’autres questions.
Comment les fraudeurs utilisent-ils Booking.com pour envoyer des messages frauduleux aux clients ? Votre email ne répond pas à cela. Y a-t-il un fraudeur travaillant dans l’hôtel dans lequel je vais séjourner dans quelques semaines et qui a accès au compte Booking.com de l’hôtel et peut communiquer avec ses clients ? Le compte Booking.com de l’hôtel a-t-il été piraté ? Ou y a-t-il d’autres hijinks en jeu ici ?
Pour plus de discussions sur ce sujet, consultez cet épisode du podcast « Smashing Security ».
Vous avez trouvé cet article intéressant ? Suivez Graham Cluley sur Twitter, Mastodonteou Sujets pour en savoir plus sur le contenu exclusif que nous publions.
