Booking : attention, des pirates se cachent derrière les comptes officiels des hôtels

Les hôtels sur Booking.com sont victimes d’une campagne de phishing qui prend le contrôle de leurs comptes officiels. À partir de là, les pirates ont accès à la messagerie de l’hôtel pour demander à leurs clients des informations bancaires et leur voler de l’argent.

Pirates Booking.com malware hotels
© Envato

La technologie se mêle encore une fois de nos vacances. Dernièrement, c’était Airbnb qui utilise l’intelligence artificielle pour traquer les fêtards. Cette fois-ci, Booking.com en est plutôt la victime. La plateforme de réservation d’hôtels et de location d’appartements est actuellement la cible de pirates. Ces derniers visent d’abord les hôteliers qui y proposent leurs services pour ensuite s’en prendre aux clients.

Comment marche cette opération de piratage qui vise Booking ?

Détectée par l’entreprise de cybersécurité Secureworks, cette campagne passe comme d’habitude par l’erreur humaine. Elle vise à obtenir les identifiants du tableau de bord des hôtels sur la plateforme, qui permet d’accéder à toutes sortes d’informations sensibles. La méthode est très simple.

Le pirate envoie d’abord un message à l’hôtel, se faisant passer pour un ancien client qui a perdu son passeport. Il demande à l’établissement de la retrouver. Ce premier courriel ne contenant ni pièce jointe ni de lien malveillant, les pirates gagnent la confiance des employés de l’hôtel. Ces derniers demandent alors de fournir une copie du document pour le retrouver.

Image 1 : Booking : attention, des pirates se cachent derrière les comptes officiels des hôtels
Un message suspect envoyé à un hôtel présent sur Booking.com © Secureworks

Le pirate fournit aussitôt un lien vers Google Drive, qui soi-disant hébergerait des photos de la pièce d’identité. L’URL contient là un fichier ZIP. En décompressant le fichier, le pauvre salarié de l’hôtel installe en réalité le malware Vidar, capable de voler les mots de passe. Ce logiciel malveillant serait généralement hébergé sur Steam et Telegram, selon les analyses de Secureworks. Valve a du ménage à faire…

Les hôtels sur Booking envoient des messages suspects aux client

L’accès à ce portail permet de voir toutes les réservations à venir et d’envoyer directement des messages aux clients. Forcément, ces messages provenant de l’application Booking.com ou de l’adresse “noreply@booking.com” inspirent confiance. Les pirates envoient des requêtes de confirmation des informations bancaires des clients, leur demandant de suivre des liens frauduleux.

À lire > Gmail : ce dangereux malware peut accéder à votre compte en toute simplicité

Dans le cas étudié par Secureworks, beaucoup sont venus s’en plaindre auprès de l’hôtel. Médusés, les employés constatent alors que le compte Booking de l’établissement a inondé les clients de messages frauduleux.

L’incident d’octobre 2023 joint le cas de deux autres hôtels. En mars, ceux-ci avait signalé le hack de leur messagerie à l’assistance partenaire Booking.com. En août, un troisième les rejoignait. D’autres ont probablement été victimes sans forcément le signaler. Sur les forums du Dark Web, l’infostealer Vidar connaitraît un regain de popularité selon les chercheurs, de même que l’intérêt pour la plateforme Booking.com.

Source : Secureworks