Les chercheurs en sécurité informatique de SecureWorks ont découvert que des hackers visent actuellement les utilisateurs de Booking.com, la plateforme de réservation de logements en ligne. Les cybercriminels ont en effet trouvé le moyen d’usurper l’identité d’un hôtel ou d’une chambre d’hôtes pour tendre un piège aux internautes. Les attaques ont débuté en octobre 2023 et se multiplient à l’approche des fêtes de fin d’année.
À lire aussi : Piraté par des espions américains, Booking.com a décidé… de ne rien faire
Le piratage de l’hôtel
Dans un premier temps, les pirates cherchent à prendre le contrôle du compte Booking des hôteliers. En clair, ils visent la plateforme de gestion des réservations mise à disposition par le site pour les établissements. Pour parvenir à leurs fins, ils contactent d’abord les hôtels par mail. Dans le courriel, ils prétendent avoir récemment séjourné dans l’établissement et avoir perdu un document important, comme une carte d’identité. Ce mail est destiné à « gagner la confiance » du destinataire, indique SecureWorks.
Une fois qu’ils auront obtenu une réponse, les hackers vont envoyer un courriel contenant une pièce jointe malveillante. Ils prétendront qu’il s’agit d’une photo du document perdu et du numéro d’enregistrement du séjour. Le mail contient un lien vers un fichier Google Drive que l’expéditeur est invité à ouvrir à l’aide d’un mot de passe.
C’est là que les pirates déclenchent la première étape de leur plan. Le fichier contient en effet une archive ZIP qui renferme un dangereux virus, baptisé Vidar. Il s’agit d’un malware capable de voler divers types de données, comme des identifiants de connexion, des informations de cartes de crédit, des historiques de navigation, et même des clés privées vers des wallets de cryptomonnaies. Comme l’explique SecureWorks, « cet échantillon de Vidar est configuré pour ne voler que les mots de passe ». Il est conçu pour fonctionner de manière discrète, souvent sans que l’utilisateur se rende compte de sa présence.
Un message en apparence légitime
Le logiciel malveillant va alors s’emparer des identifiants de l’hôtel. Avec les données volées, les cybercriminels vont se connecter au compte de l’hôtel sur la plateforme de gestion de Booking. Ils peuvent désormais échanger avec les voyageurs qui utilisent Booking en usurpant l’identité de l’établissement. Quelques heures après le piratage d’un hébergement, « plusieurs messages avaient été envoyés aux clients à venir à partir du compte Booking.com de l’hôtel », relate SecureWorks, qui a interrogé plusieurs victimes de l’opération.
Les messages ont été envoyés par le biais du système de communication de Booking, ce qui a contribué à endormir la méfiance des internautes. Ceux-ci ont reçu le message dans l’application ou sur leur boîte de mail, en provenance de l’adresse officielle [email protected]. Les messages des pirates demandaient aux voyageurs de vérifier le moyen de paiement utilisé pour réserver leur chambre. Il arrive souvent que Booking demande en effet de confirmer la carte de crédit utilisée en cas de problème lors d’un prépaiement.
« Nous devons demander une confirmation de carte supplémentaire pour garantir votre arrivée, car il y a eu un problème dans notre système lorsque nous avons vérifié votre carte. Même si votre réservation a déjà été payée ou confirmée, vous devez toujours effectuer une vérification supplémentaire », explique le message frauduleux pour pousser les internautes à obtempérer.
Soucieux de ne pas perdre leur réservation, les internautes s’empressent alors d’entrer les coordonnées de leur carte de crédit par le biais du lien de phishing (hameçonnage en français) fourni par les pirates. C’est là que le piège se referme. Les cybercriminels ne tardent pas à siphonner le compte bancaire des victimes.
Un marché florissant
Le monde des hackers est devenu friand des identifiants de connexion Booking appartenant à des hôtels, note SecureWorks. Sur les marchés noirs du dark web, des mots de passe et des noms d’utilisateur se revendent à prix d’or. Lors de leur enquête, les experts ont découvert qu’un pirate offrait entre 30 et 5 000 dollars pour des identifiants valides.
« Le marché florissant des informations d’identification de Booking.com pour commettre une fraude suggère que les attaquants continueront à cibler les propriétés qui utilisent la plateforme », met en garde SecureWorks.
Les chercheurs encouragent les gérants d’hôtels à activer l’authentification double facteurs pour se protéger des piratages. Ce mécanisme consiste à réclamer deux types d’informations distincts pour vérifier l’identité de l’utilisateur. Par ailleurs, on recommandera aux utilisateurs de Booking de redoubler de prudence. Avant de communiquer des informations sensibles, comme des numéros de carte, vérifiez que votre réservation est toujours valide sur Booking. Si aucune alerte n’apparaît, il est possible qu’un voleur cherche à vous berner. De même, n’hésitez pas à appeler l’hôtel avant de faire quoi que ce soit.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : SecureWorks