Fraude Booking.com : attention aux e-mails des hôtels

L'e-mail qui arrive dans votre boîte de réception via le portail de réservation Booking.com semble faussement authentique. Il commence par une salutation personnalisée, suivie d'une invitation amicale dans un anglais impeccable. « Nous partirons bientôt », peut-on lire dans la première phrase. « Nous avons juste besoin de quelques informations supplémentaires pour finaliser votre réservation. »

L'e-mail, obtenu par le RedaktionsNetzwerk Deutschland (RND), provient d'un hôtel italien. L'expéditeur semble fiable à première vue, la salutation est correcte et le voyage a bien été réservé. Pourtant, derrière cet e-mail, il ne s'agit ni de l'hôtel ni de Booking.com, mais de criminels cherchant à escroquer les vacanciers. Ils ont illégalement accédé au compte de l'hôtel.

Seuls ceux qui y regardent attentivement remarqueront le piège : l'e-mail vous demande ensuite de confirmer votre réservation via un lien, et ce dans les six heures. Si vous dépassez ce délai, votre réservation sera annulée et la chambre réservée sera attribuée à un autre client. Cependant, le lien mène à un site web frauduleux.

Les e-mails d'hameçonnage de ce type peuvent avoir diverses finalités. Le Centre de conseil aux consommateurs de Basse-Saxe prévient que, dans la plupart des cas, les clients des hôtels sont encouragés à saisir leurs informations de carte bancaire via le lien, parfois sous prétexte de confirmer leur réservation. Selon le Centre de conseil aux consommateurs, au moins un client s'est vu débiter illégalement 200 € de sa carte.

En théorie, cliquer sur des liens frauduleux peut toutefois avoir d'autres conséquences : le lien peut également contenir un logiciel malveillant qui s'installe ensuite sur l'ordinateur ou le smartphone. Dans ce cas, les scénarios de fraude sont pratiquement illimités : l'appareil peut être espionné, y compris les mots de passe et les méthodes de connexion utilisés pour les services bancaires en ligne ou d'autres services sensibles.

Le centre de conseil aux consommateurs met donc en garde : « Méfiez-vous toujours des demandes de paiement provenant de locations de vacances ou d'hôtels. Vérifiez directement auprès du portail de réservation ou de votre hébergement. Signalez-leur tout message suspect. »

Les agences de protection des consommateurs alertent sur une augmentation des messages d'hameçonnage envoyés par SMS, WhatsApp et e-mail. Ils se font souvent passer pour des lettres officielles d'entreprises connues. Comment les criminels parviennent-ils à obtenir les coordonnées ?

L'arnaque est insidieuse car, à première vue, elle semble tout à fait plausible. Ces dernières années, de nombreux hôtels ont commencé à demander un pré-enregistrement via la messagerie du portail de réservation avant l'arrivée des clients. Les clients peuvent ensuite saisir leur adresse et leurs coordonnées dans un formulaire en ligne, réserver une place de parking ou, si la loi l'exige, fournir leur numéro de pièce d'identité. Cela permet de gagner du temps à l'arrivée à l'hôtel, d'éviter les files d'attente et d'alléger le stress des clients et des employés.

Cependant, ce système bien établi est désormais exploité par des criminels. Dans un courriel italien prétendument fiable, par exemple, les escrocs demandent aux clients de « finaliser » leur réservation – une pratique courante. L'URL du message a même été modifiée pour ressembler au nom de l'hôtel. Seuls ceux qui y regardent attentivement remarqueront qu'il ne s'agit pas du site web officiel de l'hôtel ni d'un portail de réservation fiable.

Au total, trois autres courriels ont été envoyés depuis le compte de l'hôtel en Italie. À chaque message, les menaces se font plus sévères : si la demande n'est pas satisfaite, non seulement la réservation sera annulée, mais des frais d'annulation supplémentaires seront facturés. L'hôtel concerné semble lui-même ignorer totalement les activités du compte : contacté par RND, le personnel de la réception a expliqué que des clients avaient signalé l'arnaque, mais qu'il ne pouvait expliquer comment les courriels avaient pu être envoyés via le compte de l'hôtel.

Apparemment, il ne s'agit pas d'un incident isolé. Début juin, l'Association des hôteliers et restaurateurs (HGV) du Tyrol du Sud a alerté sur de nombreux cas qui se seraient produits dans cette région touristique italienne. Apparemment, des e-mails de phishing auraient été envoyés aux clients d'hôtels depuis plusieurs comptes. La cause du problème, cependant, restait initialement incertaine. Raffael Mooswalder, PDG de l'HGV, a déclaré au portail « Heise » qu'il n'était pas exclu que « la cause réside dans nos propres systèmes ou chez un partenaire technique ». Un prestataire technique a expliqué au portail que les adresses e-mail temporaires des clients pourraient avoir été exploitées pour envoyer les e-mails frauduleux. Ces e-mails sont générés pour chaque réservation via Booking.com afin de protéger l'adresse e-mail réelle du client.

Dans d'autres cas, la situation semble plus claire : il y a quelques semaines, le compte de l'hôtel V8 de Böblingen a également envoyé des courriels inquiétants à ses clients. Ces courriels exigeaient des paiements ; un client a ainsi perdu 400 €, rapporte SWR.

L'hôtel lui-même serait responsable du problème. Un employé aurait été piégé par un e-mail provenant d'un faux expéditeur. Probablement à l'aide d'un logiciel malveillant, des pirates ont pu voler des données et se connecter à l'extranet de Booking.com, le portail de communication entre l'hôtel et ses clients. Les fraudeurs ont ensuite envoyé des messages à ce dernier, au lieu de l'hôtel lui-même. Le client concerné a été indemnisé pour le préjudice subi.

La question est de savoir pourquoi Booking.com ne parvient pas à empêcher de telles tentatives de fraude. Les technologies de prévention de la fraude progressent constamment. L'intelligence artificielle pourrait, par exemple, identifier des inscriptions inhabituelles sur les portails de réservation , ainsi que des expressions inhabituelles dans les SMS.

En réponse à une demande de RND, Booking.com a expliqué que de telles techniques étaient bel et bien utilisées sur la plateforme. Un porte-parole du géant néerlandais des réservations a expliqué avoir réalisé des « investissements importants », notamment des « systèmes de détection avancés que nous mettons à jour et améliorons continuellement grâce à l'apprentissage automatique et à l'IA pour anticiper l'évolution des tactiques de fraude ». Cela lui permet de détecter et de bloquer « l'immense majorité des activités suspectes » avant qu'elles ne causent des dommages.

Selon l'entreprise, le nombre de cas de fraude a également diminué grâce à ces efforts. En 2023, 1,5 million de fausses réservations par hameçonnage ont été détectées et bloquées, et ce nombre devrait tomber à 250 000 d'ici 2024, selon l'entreprise. L'entreprise souligne également qu'« il n'y a eu aucune violation de données dans les systèmes de Booking.com et que Booking.com n'a pas été piraté ». Les cas de fraude surviennent lorsque des hôteliers se font piéger par des e-mails d'hameçonnage et permettent ainsi à des criminels d'accéder à leurs comptes.

Une chose est sûre : malgré ces efforts, les vacanciers sont plus vulnérables que jamais. Les criminels pouvant désormais utiliser des outils d'IA, les messages frauduleux paraissent de plus en plus professionnels. Souvent, peu d'indices permettent de suspecter un message d'hameçonnage.

Un signe évident est la pression du temps et la menace de conséquences. Quiconque a réservé et confirmé une chambre via Booking.com ne la perd généralement pas, même si un message menaçant le met en garde.

Il est également utile d'examiner attentivement le lien fourni. Mène-t-il réellement au site web officiel de l'hôtel ? S'agit-il d'un service de réservation d'hôtels classique ? Une recherche rapide sur Google suffit généralement à le déterminer. Cependant, vous ne devez en aucun cas saisir votre numéro de carte de crédit sur un site web externe ; uniquement lors d'une réservation sur le site officiel de Booking.com. Les hôtels ne demandent généralement pas de carte de crédit pour l'enregistrement en ligne.

Les hôtels peuvent également se protéger contre les abus de leurs comptes. L'authentification à deux facteurs doit toujours être activée sur les portails de réservation, afin que l'interception du mot de passe soit inopérante pour les fraudeurs.

Cependant, cette méthode est moins utile si les ordinateurs des hôtels sont infectés par des logiciels malveillants – cela permet aux criminels de prendre le contrôle de l'ensemble du système et, en cas de doute, également du compte sur Booking.com.

Le centre de conseil aux consommateurs conseille aux hôtels de former leurs employés afin qu'ils puissent immédiatement reconnaître les e-mails de phishing potentiels et éviter de cliquer sur des liens frauduleux.