Mauvaise nouvelle pour les vacanciers et pour le site Booking.com : des pirates déploient une nouvelle tactique pour dérober des données bancaires. Une approche indirecte et plutôt bien tournée qui semble fonctionner à merveille.
Si certains hackers se concentrent sur des services spécifiques, comme Midnight Blizzard avec Microsoft Teams ou les cabinets d'avocats, d'autres restent dans le vol plus classique. On assiste par exemple cette année à une recrudescence des attaques Magecart, qui visent les données bancaires sur les plateformes de e-commerce.
Cette fois, c'est le domaine du tourisme et de la réservation en ligne qui est pris pour cible. Au lieu de s'en prendre directement aux clients, les hackers préfèrent infiltrer les systèmes des hôtels et des sites d'achats de séjours. Exemple avec le site très connu Booking.com.
Piratage indirect, mais efficace
Le modus operandi mis en avant par les chercheurs en sécurité est très bien huilé. Les hackers commencent leur attaque en établissant un lien avec un hôtel, en prétextant une nouvelle réservation ou en en ciblant une qui existe déjà. Ensuite, ils envoient une URL aux établissements qu'ils ont dans le viseur.
L'URL est en réalité un leurre, qui servira à collecter des données. Les pirates évoquent une raison particulière pour justifier cet envoi : demande de confirmation supplémentaire de la réservation ou justification médicale, par exemple. Les entreprises ciblées, persuadées qu'elles ont affaire à un vrai client, cliquent sur l'URL piégée. Mais derrière ce lien inoffensif se cache un logiciel programmé pour voler des données sensibles en toute discrétion.
Un leurre conçu de manière professionnelle
Tout ce petit manège est la première étape de la tromperie. Un constat établi par l'entreprise Akamai (société américaine de mise à disposition de serveurs pour les entreprises) montre que l'attaque continue après cela. Dès que le lien est établi avec un hôtel, les hackers peuvent tisser une communication directe avec les personnes qui ont réservé un séjour. Un message de phishing leur est ensuite envoyé, imitant à la perfection un message officiel.
Dans celui-ci, les clients sont sollicités pour une vérification supplémentaire de leurs cartes de crédit. Il est formulé à manière à ce que ceux-ci comprennent que la situation est urgente, avec par exemple la menace d'annulation d'une réservation en cours. Une fois que l'appât est lancé, la victime clique sur le lien présent dans le message, qui l'envoie directement sur une fausse page du site Booking.com, similaire en tout point à l'officielle (voir capture d'écran ci-dessus). Persuadées qu'elles sont en face du vrai site, les personnes entrent leur numéro de carte de crédit, et le tour est joué pour les hackers !
Bien que très inquiétantes, il faut avouer que ces techniques de phishing sont rondement ficelées. Une raison de plus pour toujours rester sur ses gardes lorsque l'on reçoit des messages à caractère urgent ou avec un ton menaçant. En cas de doute, il vaut toujours mieux contacter directement l'entreprise concernée par téléphone ou e-mail plutôt que de cliquer sur une URL reçue par message. Les campagnes de phishing sont de plus en plus sophistiquées, et la vigilance doit être de mise à tous les niveaux.
Source : Bleeping Computer
