Une arnaque ciblant les clients Booking autrefois très populaire en Russie est en train de se déployer dans le monde entier. Après avoir obtenu les accès des employés de l'entreprise, les pirates envoient des messages aux clients leur demandant de payer à nouveau leur chambre d'hôtel.

Comme pour toutes les plateformes en position de leader sur leur marché, Booking sert régulièrement de passerelle aux pirates qui cherchent à diffuser leurs arnaques. La firme de cybersécurité française Sekoia vient d'en repérer une nouvelle, particulièrement fourbe, qui a déjà fait de très nombreuses victimes. Et pour cause : pour gagner en crédibilité, celle-ci utilise directement les informations de réservation de clients.

Tout commence par un mail envoyé à un salarié de Booking, ou un employé d'hôtel. Pour attirer leur attention, les pirates prétendent qu'une demande urgente d'un client nécessite d'être traitée. Là encore, pour ne pas éveiller les soupçons, ceux-ci utilisent de vraies adresses mail corrompues, appartenant à des professionnels du secteur. Évidemment, ce mail contient un piège, prenant cette fois la forme d'un captcha de sécurité sur une fausse page Booking.

Sur le même sujet – Booking : attention, une simple faute de frappe peut mettre en danger toutes vos données personnelles

Comment cette arnaque Booking piège les clients de la plateforme

Ici, nulle question de taper une suite de caractère ou de trouver la bonne image. Pour passer le captcha, l'utilisateur doit ouvrir Powershell et rentrer une ligne de commande. Autant dire qu'il y a déjà de quoi éveiller des soupçons et pourtant, cette technique est utilisée depuis des années. C'est notamment cette dernière qui s'est trouvé au coeur d'une autre arnaque Booking que nous avons déjà évoquée dans nos colonnes.

Forcément, cette ligne de commande installe un malware sur le PC de la victime. PureRAT, de son doux nom, est un Trojan qui va alors permettre aux pirates de contrôler à distance l'ordinateur, tout en passant inaperçu. À ce stade, il ne leur reste plus qu'à récupérer toutes les données ayant de la valeur, notamment les identifiants de connexion des salariés visés, mais aussi les différentes réservations reçues avec toutes les informations nécessaires à une arnaque réussie.

Dates de la réservation, facture, noms et prénoms… Tout ceci est ensuite utilisé pour envoyer directement un message aux clients. Dans ce dernier, les pirates prétendent qu'un problème a eu lieu lors du paiement de la réservation. Ils invitent alors la victime à cliquer sur un lien pour régulariser leur situation. Lien menant là encore à une fausse page Booking, hébergée en Russie. Il ne reste plus à la victime qu'à rentrer ces coordonnées bancaires, pensant alors qu'elle fait ne payer pour sa chambre d'hôtel.

Le message comprenant tous les détails de sa réservation, il est bien difficile pour cette dernière de soupçonner une arnaque. Pourtant c'est tout un système qui s'est constuit autour de celle-ci depuis quelques années. Auparavant très populaire Russie, cette combine est en train de s'expatrier dans le reste du monde, les pirates venant des “paquets” d'identifiants Booking pour des montants grimpant jusqu'à 5000 €.

Selon Sekoia, l'un d'entre eux prétend même avoir généré plus de 20 millions de dollars grâce à cette arnaque. Le phénomène a pris une ampleur telle que les pirates n'hésitent plus à soudoyer les employés, en leur proposant de diffuser eux-même le malware en échange d'une partie des gains. Autrement dit, la menace est partout. Si vous recevez un message de Booking vous demander de payer à nouveau votre chambre d'hôtel, restez sur vos gardes.