Une vaste campagne de phishing exploite de faux sites de voyage pour voler les données bancaires de clients d’hôtels. Voici ce qu’il faut savoir pour éviter le piège.
Une escroquerie massive qui imite Booking, Airbnb et les grands acteurs du voyage
Depuis le début de l’année, un groupe cybercriminel russophone mène une opération impressionnante : plus de 4 300 faux sites de réservation ont été créés pour piéger des voyageurs. Leur objectif : voler les données de paiement en se faisant passer pour des plateformes ultra connues comme Booking, Airbnb, Expedia ou Agoda.
Le scénario est bien rodé. Les victimes reçoivent un e-mail leur demandant de « confirmer leur réservation sous 24h » via un lien. En cliquant, elles sont redirigées vers une fausse page de confirmation parfaitement maquillée : logos officiels, design identique, mentions rassurantes… Chaque page est personnalisée grâce à un kit de phishing avancé, capable d’adapter l’interface en fonction d’un identifiant présent dans le lien.
Les domaines utilisés contiennent souvent des termes rassurants du type confirmation, guestcheck, cardverify ou reservation, rendant l’arnaque encore plus crédible. Les pages supportent même 43 langues pour toucher un public mondial.
Une fois les informations bancaires saisies, une transaction frauduleuse est tentée en arrière-plan, tandis qu’un faux support apparaît pour simuler une vérification 3D Secure.
Des victimes partout dans le monde… et un vol potentiellement très coûteux
L'attaque cible principalement les clients d’hôtels et de locations, mais aussi certains établissements eux-mêmes. Une partie des domaines a été associée à une autre campagne visant les gestionnaires d’hôtels, les poussant vers des pages ClickFix-style afin de leur dérober identifiants et documents avant d’attaquer leurs propres clients.
Conséquences pour les victimes :
débits frauduleux immédiats,
récupération complète des données de carte,
risque de revente de ces données sur le dark web ou de réutilisation dans de futures escroqueries,
pertes financières parfois importantes, sans parler des démarches pour tout faire annuler.
L’ampleur de l’opération montre à quel point les cybercriminels ont industrialisé ce modèle. Ce type d’attaque s’inscrit dans une tendance plus large : le phishing-as-a-service, qui permet à des acteurs peu techniques de lancer des campagnes sophistiquées grâce à des kits prêts à l’emploi.
Comment éviter le piège : réflexes simples et outils indispensables
Pour ne pas finir sur un faux site :
Ne jamais confirmer une réservation via un lien reçu par e-mail Passe toujours par :
l’application officielle (Booking, Airbnb…),
ou la page de réservation accessible via les favoris / un moteur de recherche.
Analyser l’adresse du site Des signaux d’alerte :
orthographe inhabituelle,
ajout de chiffres au milieu du nom (ex. verifyguest71561-booking.com),
absence de HTTPS.
Ne jamais entrer sa carte bancaire si une pression artificielle est exercée Un hôtel ou une plateforme ne menace jamais d’annuler en 24h via un lien externe.
Protéger son navigateur et ses e-mails Un bon antivirus pour Mac et une solution de filtrage peuvent bloquer :
