Booking.com: les hôtels alertent sur des usurpations d’identité sophistiquées

Les arnaques business to business se développent. L’hôtellerie fait face a des usurpations d’identité de Booking.com

Les escrocs envoient une vraie fausse facture pour tromper l’hôtel

« Ces escrocs m’ont envoyé une fausse facture avec le montant exact d’une commission que je devais payer à Booking ». La gérante de cet hôtel parisien continue de ne pas comprendre comment les aigrefins ont pu avoir accès à cette information. Elle nous a demandé de protéger son anonymat car Booking.com est dans une position d’oligopole. Les hôtels peuvent difficilement se permettre de s’en passer. Elle craint des rétorsions.

Et à l’entendre, les conséquences peuvent être grave pour sa petite entreprise. « Puisque je n’ai pas voulu régler le montant 2 fois, ils ont fermé la page de l’hôtel, avec menaces de procédure judiciaire après 20 ans de collaboration » raconte-t-elle. Alors quand elle lit que Booking a remboursé 1300 euros a un client victime d’une arnaque à la fausse réservation, elle en garde un souvenir amer. Aujourd’hui, elle réussit à travailler sans avoir recours à Booking.

Elle tient néanmoins à raconter l’arnaque dont elle a été victime. Elle reste persuadée que les escrocs ont soit bénéficié de complicité interne chez Booking, soit réussi à voler des informations sur les serveurs du site de réservation installé aux Pays-Bas, soit piraté les serveurs de la plateforme de réservation pour envoyer des mails depuis le vrai site. Quand elle reçoit cette facture pour un montant exact en contrepartie de commissions en faveur de Booking, elle ne se méfie pas.

Elle reçoit même des appels de numéros de téléphone néerlandais comme le +31207153335 ou le +31207125689 de la part d’escrocs. Or, elle affirme que l’un de ces numéros est l’un des numéros qu’elle utilise habituellement pour échanger avec Booking aux Pays-Bas.

Pour les escrocs, l’objectif est toujours le même: trouver une bonne raison de justifier un changement de compte bancaire de destination des commissions. Elle a l’habitude de virer les commissions sur un compte bancaire hébergé aux Pays-Bas, le pays du siège. Un conseiller lui explique que désormais, cet argent doit être viré sur un compte hébergé en France. En l’occurrence, le compte est hébergé chez vivawallet.com, une banque d’origine grecque disposant d’une succursale en France.

Booking dément et pointe des hameçonnages ou fishing

Contacté par nos soins, Booking dément toutes faille interne: « nous savons que certains partenaires d’hébergement ainsi que des clients ont été affectés par des escroqueries par hameçonnage. Il ne s’agit pas d’une brèche des systèmes de Booking.com, mais d’une fraude coordonnée à l’encontre des clients et des partenaires, ciblés par des e-mails d’hameçonnage. Les escrocs, alors en mesure d’obtenir les adresses électroniques et les numéros de téléphone portable des clients, peuvent ensuite leur demander de communiquer les détails de leur carte de crédit pour effectuer des paiements frauduleux.  

Au regard des millions de réservations que nous facilitons chaque semaine, de tels cas restent heureusement très rares. Néanmoins, nous prenons chaque cas très au sérieux et, afin de nous conformer à nos obligations réglementaires, nous enquêtons sur chaque incident et fournissons régulièrement des mises à jour sur ces fraudes aux autorités.

Des professionnels de l’hôtellerie que nous avons interrogé nous rapportent que Booking refuse de porter plainte pour ces usurpations d’identité. Le représentant de Booking n’a pas pu confirmer ou infirmer cette affirmation, ni l’expliquer. Quand à l’hôtelière victime, elle déplore « la non assistance de Booking.com » et ses « réponses complétements incohérentes » quand elle a la chance d’en recevoir.

La presse anglaise confirme ces accusations contre Booking.com

Il y a quelques semaines, un article paru dans le journal anglais The Observer a révélé que des escrocs avaient réussi à pirater la messagerie du site de réservation en ligne Booking.com pour adresser des messages malveillants (phishing) à des clients d’hôtel afin de les arnaquer.

Les escrocs avaient réussi à s’introduire dans le système informatique de Booking. Ensuite, ils contactaient des clients ayant fait une réservation pour les sommer de cliquer sur un lien frauduleux pour donner les informations de leur carte bancaire, sous peine de voir leur réservation annulée.

Le tour de force de l’arnaque consistait à adresser ce message de la part de l’adresse « noreply@booking.com », qui vient à priori du vrai site booking. L’arnaque était d’autant plus dangereuse qu’elle pouvait utiliser la confiance du site de réservation.

« Booking.com a vigoureusement nié que son système ait été piraté » raconte l’article « et a, au contraire, imputé les messages à des failles dans les systèmes de messagerie de ses hôtels partenaires ».

Booking pointerait des logins et mot de passe appartenant à des hôtels partenaires du site qui auraient été volés et utilisés frauduleusement. « Mais ce n’est pas possible car nous avons une authentification à deux facteurs et nous n’avons pas reçu de SMS » a répliqué un hôtelier.

Explosion post-COVID des arnaques visant l’hôtellerie

C’est l’utilisation d’adresse mail se terminant par @booking.com qui a convaincu The Observer que cette histoire méritait un article. En réalité, les arnaques via des sites de réservation -particulièrement Booking.com- sont « en très forte croissance, particulièrement depuis la crise du COVID » explique Fabienne Ardouin du Groupement des hôtelleries et Restauration de France.

Les clients qui réservent sur Booking ne sont pas les seuls à faire les frais d’arnaques. Désormais, ces arnaques ne sont plus seulement « business to customer » mais « business to business »: elles visent les relations entre professionnels de l’hôtellerie. En France, le syndicat hôtelier a publié une alerte le 4 septembre dernier.

Le piratage d’u extranet hôtelier

Les hôteliers échangent fréquemment des liens avec leurs clientèles. Ils sont donc plus vulnérables que d’autres professions. C’est l’un des modes opératoires développé par des équipes de malfaiteurs.

Quand un hôtelier a le malheur de cliquer sur l’un de ces liens, cela permet généralement au malfaiteur d’usurper l’identité de l’hôtelier pour, par exemple, changer le RIB de destination des paiements des clients, changer le RIB du compte lequel seront reçus les paiements de Booking.com ou encore de contacter légitimement les clients de l’hôtel pour… les arnaquer…

Cette « arnaque BtoB » avait déjà été dénoncée en début d’année par le le syndicat patronal de l’hôtellerie-restauration.

Usurpation de l’identité de Booking.com ou d’une autre plateforme

Une autre technique plus artisanale et maintes fois éprouvée dans des arnaques visant des particuliers avec usurpations d’identité consiste à se faire passer pour Booking.com en créant une adresse de messagerie ressemblant à l’URL officielle du groupe: Booking.com.

Ainsi, les escrocs créent l’adresse support@assistance-booking.com ou encore invoice@secures-booking.com (comme dans le mail ci-dessous). L’URL créée pour fabriquer ces adresses ont généralement quelques dizaines ou quelques centaines de jours d’existence, alors que l’adresse officielle a été créée il y a presque 10 000 jours. C’est bon moyen de s’assurer qu’il ne s’agit pas d’une fraude.

Dans le mail ci-dessous, l’objectif est d’obtenir de l’hôtelier qu’il change le compte destinataire des fonds. Mais ce mode opératoire est plus facile a repérer.

Retrouvez notre rubrique enquête et décryptage.

Les arnaques business to business se développent. L’hôtellerie fait face a des usurpations d’identité de Booking.com Les escrocs envoient une vraie fausse facture pour tromper l’hôtel “Ces escrocs m’ont envoyé une fausse facture avec le montant exact d’une commission que je devais payer à Booking”. La gérante de cet hôtel parisien continue de ne pas …