De faux e-mails Booking.com peuvent piéger le personnel hôtelier en les incitant à installer involontairement un malware. Cette campagne de phishing utilise un prétendu CAPTCHA pour déployer AsyncRAT, un logiciel espion qui offre un accès total aux systèmes infectés.
L'industrie hôtelière est en ce moment la cible d'une attaque informatique particulièrement sournoise. Des cybercriminels se font passer pour Booking.com en envoyant des messages qui traitent d'objets personnels oubliés par des clients. Une fois que le destinataire clique sur le lien, il est dirigé vers un faux site qui l'incite à exécuter des commandes compromettant l'ensemble du système informatique de l'établissement. Une méthode simple, mais efficace.
Une arnaque Booking.com qui exploite la serviabilité du personnel hôtelier
Dans cette arnaque Booking repéré par Hackread, tout commence avec un e-mail d'apparence légitime destiné aux responsables d'hôtel. Le message, rédigé dans un style professionnel, évoque un client inquiet ayant oublié des effets personnels de valeur. Pour consulter les informations du client, le personnel est invité à cliquer sur un bouton « Voir les informations du client », un appât auquel il est difficile de résister.
L'arnaque prend ensuite une tournure ingénieuse avec l'apparition d'un faux CAPTCHA, une arme de plus en plus redoutable entre les mains des cybercriminels. Celui-ci intervient sur un site imitant parfaitement Booking.com. Après avoir coché la case confirmant qu'ils ne sont pas des robots, les utilisateurs sont invités à appuyer sur des combinaisons de touches (WIN+R, puis CTRL+V et Entrée) qui, à leur insu, exécutent un script malveillant directement dans leur système.
Ce qui distingue cette attaque des tentatives habituelles de phishing, c'est sa subtilité. En incitant l'utilisateur à exécuter manuellement les commandes, les cybercriminels parviennent à contrôler, d'une manière plutôt habile, de nombreuses protections antivirus. Pas de pièce jointe suspecte au menu, pas de téléchargement flagrant à effectuer, juste une série d'actions apparemment anodines qui ouvrent grand la porte, hélas, aux attaquants.
AsyncRAT, un invité invisible aux pouvoirs étendus
Le logiciel malveillant déployé, connu sous le nom d'AsyncRAT, est un cheval de Troie d'accès à distance particulièrement dangereux. Actif depuis 2019, ce malware open-source permet aux pirates d'enregistrer les frappes au clavier, d'accéder à distance au bureau, de voler des fichiers et même d'installer d'autres logiciels malveillants. Une fois installé, il s'établit discrètement dans le système et communique avec un serveur de commande.
Pour les établissements hôteliers, les conséquences peuvent être catastrophiques. Les cybercriminels obtiennent un accès complet aux systèmes, qui leur permet de dérober des informations clients sensibles, des détails de réservation et pire encore, des données de paiement. Une mine d'or pour les fraudeurs qui peuvent ensuite revendre ces informations ou les utiliser pour d'autres activités criminelles.
Pour ne pas tomber dans le piège, n'oublions pas que la défense commence par la vigilance. Les experts recommandent de ne jamais cliquer sur des liens dans des e-mails non sollicités, même s'ils semblent légitimes. Vérifiez toujours l'URL (les vrais liens Booking.com ne contiennent pas de sous-domaines suspects) et ne suivez jamais d'instructions vous demandant d'exécuter des commandes via la boîte de dialogue Exécuter de Windows. En cas de doute, n'hésitez pas, et contactez directement Booking.com via leurs canaux officiels.
