Booking.com : attention aux tentatives d’hameçonnage très sophistiquées

Même les dates et l’hôtel correspondent. Depuis des mois une fraude extrêmement bien faite piège des personnes qui réservent sur booking.com, célèbre site de réservation en ligne. Selon De Morgen et la RTBF, des Belges en auraient fait l’amère expérience.

Booking.com, principal site de réservations de logements en ligne, semble être embourbé malgré lui dans une affaire de fraude de grande ampleur. Des clients qui ont réservé leurs vacances en ligne via cette plateforme seraient les victimes d’un phishing très sophistiqué. Ces derniers ont reçu de message frauduleux semblant venir de la plateforme. Un message indiquant que leur réservation n’est pas passée et qu’ils doivent repayer sous peine de voir leurs vacances annulées. Pour ce faire, il y a un lien sur lequel ils doivent cliquer pour saisir leurs informations de paiement. Premier élément particulièrement piégeux, le message de l’hôtel n’était pas envoyé par mail ou par whatsApp, mais directement dans l’application ou dans le site web de Booking. Autre élément troublant, ces messages stipulent les bonnes dates et le bon hôtel.

Le tout ressemble à s’y méprendre aux pages officielles de réservation, sauf que l’argent n’arrive ni à l’hôtel ni chez Booking. C’est le début d’une spirale qui peut faire perdre des milliers d’euros.

Comment c’est possible ?

Pour obtenir ces données, les pirates ne s’attaqueraient pas directement à Booking, mais visent les hôtels, les gîtes ou encore les campings que l’on peut réserver via Booking.com. La cybersécurité  de ces partenaires hébergeurs est loin d’être étanche. Ils sont des cibles faciles pour des fichiers malveillants capables de récupérer les données des clients ou d’obtenir un accès non autorisé au compte Booking.com de l’établissement. Deux choses qui permettent aux hackers de passer via l’application Booking et de se faire passer pour l’établissement. Mais aussi de stipuler les dates de réservation.

Combien de victimes ?

L’arnaque dure depuis des mois et on ignore combien d’établissements ont déjà été visés. Booking.com ne donne pas de chiffres précis. Selon la responsable de la sécurité Marnie Wilking interviewée par une radio hollandaise cela ne concernerait cependant qu’”une petite fraction d’un pour cent des 28 millions d’hébergements de Booking.com”.

Que compte faire Booking ?

L’entreprise s’était jusqu’à présent murée dans un certain silence. Pour elle, il ne s’agit pas d’une brèche des systèmes de Booking.com. C’est une fraude coordonnée qui vise ses partenaires et par ce biais ses clients. En gros, la plateforme rejette la faute sur les sites des hébergeurs qui se seraient trop facilement laissé hacker. 

Mais face à ce phénomène qui gagne en ampleur, elle ajoute depuis quelques jours un message à la confirmation de la réservation précise la RTBF. Il indique que pour “assurer votre sécurité, ne partagez jamais vos informations personnelles ou vos coordonnées de carte de crédit par téléphone, par e-mail ou par chat”.

Sur leur site, la plateforme précise aussi que «lors de nos échanges, qu’ils concernent des questions relatives aux paiements ou des modifications de réservation, les agents de Booking.com ne vous demanderont jamais de payer avec une carte cadeau ou de leur fournir vos coordonnées de carte de crédit par téléphone, par SMS ou par e-mail »

Booking stipule encore dans un communiqué, que les clients « doivent privilégier les paiements via notre plateforme, qui propose un processus de paiement guidé et sécurisé”

Peut-on se faire rembourser ?

Si certains clients ont eu droit à un geste commercial de la part de la plateforme, ce n’est certainement pas la norme. Une grosse majorité des malchanceux n’aurait eu droit à rien, la plateforme renvoyant soit vers l’hébergeur, soit vers sa banque.

Normalement, en cas de phishing, on peut effectivement être remboursé par l’organisme de paiement. Sauf si les pertes financières résultent du fait que le payeur «n’a pas satisfait, intentionnellement ou à la suite d’une négligence grave, à une ou plusieurs des obligations liées à l’utilisation d’un instrument de paiement ». Si la banque estime que c’est le cas, ce sera au client de payer. Dans le cas qui nous occupe, tout est donc une question d’interprétation et va dépendre du fait qu’elle prenne en compte une éventuelle négligence. On est donc dans du pur cas par cas.

Comment éviter de tomber dans le piège ?

  • On ne doit jamais payer par le biais d’un lien dans un message ni donner les détails de ses coordonnées bancaires hors du site.
  • En cas de doute contacter directement l’hôtel ou Booking.com via leur service client disponible 24 heures sur 24.
  • Si le mail donne un sentiment d’urgence, il doit éveiller la méfiance

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Partner Content