Des escrocs utilisent vos véritables réservations d’hôtel pour vous piéger grâce à des attaques de phishing ciblées.
Les données clients de plus de 350 hôtels à travers le monde pourraient avoir été consultées dans le cadre d’escroqueries réalistes de détournement de réservations.
D’après de nouvelles découvertes de chercheurs en sécurité, des données de réservation pourraient avoir été dérobées dans des centaines d’hôtels à travers le monde. Ces informations volées, telles que les noms des clients et les détails de leurs réservations, sont ensuite réutilisées par des cybercriminels pour créer des messages d’hameçonnage très ciblés , destinés à voler des informations de cartes bancaires.
Au moins 350 hôtels, locations de vacances, motels et chambres d’hôtes, répartis dans 50 pays, ont été victimes d’escroqueries par détournement de réservation, selon une analyse des messages d’hameçonnage et de l’infrastructure cybercriminelle réalisée par la société de sécurité Norton. Les chercheurs indiquent que l’utilisation d’informations de réservation légitimes dans ces messages augmente le risque qu’une personne clique sur un lien frauduleux et divulgue d’autres données sensibles à des criminels.
« C’est vraiment ciblé », explique Luis Corrons, qui a dirigé l’étude menée par Gen Digital, la société mère de Norton. Les sites d’hameçonnage analysés par l’entreprise affichaient des noms d’hôtels, des prix différents pour chaque victime, ainsi que des informations précises sur l’arrivée et le départ. « Il s’agit d’hameçonnage ciblé, utilisant les détails réels de la réservation. »
D’après les données analysées par les chercheurs, l’Allemagne semble compter le plus grand nombre d’hôtels susceptibles d’avoir subi une compromission de données clients, suivie de la France, du Royaume-Uni, de l’Italie, de l’Espagne et des États-Unis. Les 350 établissements mentionnés dans les SMS, messages WhatsApp et courriels frauduleux peuvent accueillir environ 80 000 clients en période de pointe, selon les estimations des chercheurs. « La plupart de ces établissements sont de petite ou moyenne taille », précise Corrons.
Bien que les tentatives de piratage des systèmes hôteliers pour dérober les informations de réservation des clients existent depuis des années, ces découvertes surviennent alors que les cybercriminels développent et perfectionnent sans cesse les logiciels de « phishing-as-a-service » qu’ils utilisent pour envoyer chaque mois des millions de messages frauduleux liés à des livraisons et des péages. Ces kits de phishing intègrent constamment de nouveaux leurres pour inciter les internautes à cliquer sur des liens malveillants et peuvent usurper l’identité de dizaines de marques internationales. L’année dernière, les Américains ont perdu plus de 200 millions de dollars à la suite de tentatives de phishing réussies, selon des données récemment publiées par le FBI .
Norton a ouvert une enquête sur une fraude liée aux hôtels en décembre, après avoir identifié un message d’hameçonnage très réaliste. Ce message, envoyé sur WhatsApp depuis un compte usurpant l’identité du site de réservation de voyages Booking.com, prétendait provenir d’un hôtel précis et listait les dates d’une réservation à venir, avant d’inviter le destinataire à cliquer sur un lien pour confirmer ses informations. Ce lien redirigeait vers un faux site web contenant un chatbot qui transmettait instantanément aux pirates informatiques toutes les informations saisies, notamment les données de carte bancaire.
Les pirates informatiques pourraient obtenir les informations de réservation de vacances de diverses manières, notamment en accédant aux systèmes informatiques des hôtels après leur avoir envoyé des messages d’hameçonnage ou via des plateformes de réservation tierces. Par exemple, ils pourraient envoyer des courriels ou des fichiers infectés par des logiciels malveillants aux hôtels afin de tenter d’obtenir leurs identifiants de connexion, plutôt que d’exploiter les failles de sécurité de leurs systèmes. Une étude précédente de Norton, publiée en mars, mentionne Booking.com et le système de gestion hôtelière CloudBeds. « Nous avons pu récupérer certains messages reçus par le personnel hôtelier afin de les piéger », explique Corrons.
« Nous ne pouvons pas affirmer que chaque message d’hameçonnage observé soit systématiquement dû à une compromission directe des systèmes internes de l’hôtel », explique le chercheur. Ces messages pourraient avoir été envoyés à partir d’informations issues d’autres fuites de données ou de systèmes non liés au secteur du voyage. « Le point commun est que les criminels exploitent le contexte réel des réservations pour inciter les voyageurs à suivre un processus de vérification ou de paiement frauduleux », précise Corrons.
Selon Corrons, Norton n’a pas encore pu identifier avec certitude les auteurs des attaques, mais l’enquête se poursuit. Il semblerait que les personnes à l’origine de certains messages d’hameçonnage utilisent des kits conçus pour accélérer et automatiser l’envoi et la collecte d’informations, et que, dans plusieurs cas, le même kit ou la même infrastructure technique ait été utilisé. L’entreprise ne publie pas la liste complète des hôtels et hébergements de vacances potentiellement touchés, indique Corrons ; toutefois, elle a contacté Europol pour leur faire part de ses conclusions.
Un porte-parole d’Europol a refusé de commenter, indiquant que l’organisation ne commentait pas ses activités opérationnelles.
« Nous continuons à renforcer nos défenses afin de réduire les risques et de limiter les possibilités pour les personnes mal intentionnées de cibler nos partenaires hôteliers et nos clients, et nous constatons des résultats », déclare un porte-parole de Booking.com.
Cloudbeds affirme que l’entreprise n’a subi aucune intrusion et que les attaques décrites par les chercheurs de Norton sont des campagnes d’hameçonnage visant à voler des identifiants au personnel hôtelier, puis aux clients. « Ces escroqueries sont si efficaces car l’attaquant ne procède pas par supposition : il connaît précisément l’identité du client, sa date d’arrivée et le montant qu’il a payé », explique Aaron Ownbey, vice-président de l’ingénierie chez Cloudbeds.
Les tentatives de piratage d’hôtels et d’utilisation des données clients pour lancer des attaques de phishing existent depuis des années. Dans le secteur du tourisme, les hôtels utilisent souvent divers logiciels de gestion hôtelière ou différents systèmes permettant aux clients d’effectuer des réservations via des plateformes tierces. Parallèlement, le personnel peut facilement gérer les informations et les réservations des clients. « Le secteur de l’hôtellerie doit collectivement renforcer sa sécurité : meilleure formation du personnel de réception, adoption plus large de l’authentification anti-phishing et contrôles plus stricts de l’accès aux données clients et de leur exportation depuis n’importe quelle plateforme », déclare Ownbey.
Les petits hôtels sont moins susceptibles d’avoir mis en place des pratiques exemplaires en matière de sécurité, telles que l’authentification multifacteurs pour les membres du personnel, explique Don Smith, vice-président de la recherche sur les menaces chez Sophos, une société de sécurité qui a travaillé avec des entreprises du secteur du voyage.
Par exemple, lors d’un incident traité par Sophos , un cybercriminel a envoyé un courriel à un hôtel, prétendant avoir perdu son passeport lors d’un récent séjour. Dans un message suivant, l’attaquant a inclus un lien vers une photo du passeport ; en cliquant dessus, un fichier contenant le logiciel malveillant Vidar , capable de voler les identifiants de connexion d’un ordinateur infecté, était téléchargé. Quelques jours après le déploiement du logiciel malveillant, des messages frauduleux ont été envoyés à des clients depuis le compte Booking.com de l’hôtel, et des personnes se plaignaient d’avoir perdu de l’argent.
« Les cybercriminels adorent le contexte, car il rend un leurre d’hameçonnage beaucoup plus convaincant », explique Smith. « Il est très difficile de ne pas réagir et de ne pas cliquer pour atténuer le stress lié à un voyage potentiellement stressant. »
Corrons, de Norton, explique que l’inclusion d’informations réelles dans les messages d’hameçonnage peut rendre plus difficile la distinction entre les messages légitimes et les arnaques. En cas de doute, il conseille de contacter directement l’hôtel ou la location de vacances par un autre moyen. « Même si les données contenues dans le message sont réelles », précise-t-il, « cela ne signifie pas que vous pouvez lui faire confiance. »
JForum.Fr & Wired
La rédaction de JForum, retirera d’office tout commentaire antisémite, raciste, diffamatoire ou injurieux, ou qui contrevient à la morale juive.
La source de cet article se trouve sur ce site
