Phishing : avec ce faux site Booking.com, les pirates volent les cartes bancaires des clients !

Des chercheurs en sécurité ont mis en lumière une vaste campagne de phishing sophistiquée qui cible à la fois les voyageurs et les hôtels inscrits sur la plateforme Booking.com. Faisons le point sur cette menace.

Cette analyse publiée par les chercheurs en sécurité de chez Perception Point fait écho à l'article "Booking.com victime d'une cyberattaque ? Ces e-mails malveillants laissent place aux doutes !" publié sur IT-Connect pendant l'été. Le fait d'imaginer que Booking.com est lui-même victime d'une cyberattaque permettant aux pirates d'accéder au système de messagerie interne prouve que cette campagne de phishing est sophistiquée et complexe.

Pour collecter des numéros de cartes bancaires, les cybercriminels ont mis au point une campagne malveillante qui se déroule en plusieurs étapes.

La première étape : piéger l'hôtel

Puisque l'objectif des pirates est de récupérer l'identifiant et le mot de passe Booking.com du gestionnaire de l'hôtel afin de pouvoir se connecter à son compte et s'en prendre aux clients de l'hôtel. Pour cela, les cybercriminels contactent l'hôtel pour une demande de réservation ou en faisant référence à un numéro de réservation existant. Une fois la communication avec l'hôtel établie, les cybercriminels cherchent un prétexte, comme un problème médical, pour mener la personne de l'hôtel vers un site malveillant où on lui demande de télécharger un document. D'après les chercheurs en sécurité, cette page est conçue pour voler des données de manière furtive et elle mène à l'exécution d'un malware de type info-stealer.

"Une fois que le malware info-stealer est exécuté sur la cible initiale (l'hôtel), l'attaquant peut accéder à la messagerie avec des clients légitimes", précise Shiran Guez de chez Akamai, également à l'origine d'un rapport sur le sujet.

La seconde étape : piéger les clients de l'hôtel

Dès que les pirates ont accès au compte Booking.com de l'hôtel, ils sont en mesure de consulter les réservations à venir et de prendre contact directement avec les clients, de façon légitime, au travers de la messagerie Booking.com. Une aubaine pour les pirates : ils peuvent envoyer un message de phishing à partir du compte de l'hôtel à partir du système de messagerie officiel de Booking.com.

L'objectif des cybercriminels étant de récupérer les numéros de carte bancaire des clients, le message malveillant argumente en ce sens afin d'inciter la future victime à agir au plus vite ! Voici le début du message : "Cher client, en raison d'une mise à jour des règles de réservation, nous sommes obligés de demander une confirmation de carte supplémentaire pour garantir votre arrivée. Cette procédure ne prendra pas plus de 5 minutes. Vous avez 24 heures pour confirmer votre réservation, sinon elle sera annulée par le système de réservation lui-même."

D'après Shiran Guez, ce message "est rédigé de manière professionnelle et s'inspire de véritables interactions entre les hôtels et leurs clients."

Imaginez un instant : vous êtes à quelques heures de votre départ, vous recevez ce message directement de la part de l'hôtel et vous n'avez pas envie que votre week-end de rêve soit annulé, qu'est-ce que vous allez faire ? Une grande majorité de personnes va cliquer sur le lien et saisir ses infos bancaires. Les pirates l'ont bien compris et il y a clairement un taux de réussite beaucoup plus élevé qu'avec une attaque phishing classique.

Lorsque l'utilisateur clique sur le lien, il est redirigé vers une fausse page de paiements de Booking.com lui permettant de saisir ses numéros de carte bancaire. Ensuite, ces informations terminent entre les mains des pirates.

En réaction à mon précédent article, un porte-parole de Booking.com m'avait adressé un message (disponible en intégralité dans l'article mentionné ci-dessus) dans lequel on pouvait lire ceci : "En tant qu'entreprise de voyage responsable, nous sommes conscients des conséquences de telles escroqueries par des tiers malveillants pour notre entreprise, nos partenaires d'hébergement et nos clients. Nous révisons et renforçons constamment nos propres contrôles de sécurité, nous offrons des conseils et des formations à nos partenaires d'hébergement." - Malgré tout, cette technique sophistiquée continue de faire des victimes sur la plateforme.

Source

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

See Full Bio