En bref
- Une nouvelle arnaque cible les voyageurs suisses via de faux messages WhatsApp et e-mails prétendant provenir de Booking.com ou d’hôtels.
- Ces escroqueries utilisent des données personnelles pour sembler crédibles et visent à soutirer de l’argent en jouant sur la peur de perdre une réservation ou en promettant un remboursement.
Les vacances approchent à grands pas. Et au milieu des valises, des confirmations de réservation et du stress des derniers préparatifs, une nouvelle arnaque vise directement les voyageurs, notamment suisses. De quoi transformer des vacances bien méritées en cauchemar, si l’on baisse la garde.
Plusieurs lecteurs ont transmis à Blick des messages reçus sur WhatsApp. Dans la plupart des cas, les escrocs font croire que le message provient directement de Booking.com. «Il arrive toutefois que l’e-mail semble provenir directement de l’hôtel ou d’un voyagiste, selon la source d’où les escrocs ont obtenu ces données», précise l’Office fédéral de la cybersécurité (OFCS). La méthode est redoutable: les escrocs connaissent le nom et le prénom des clients, les dates exactes du séjour et l’établissement concerné. Une campagne crédible, personnalisée et donc particulièrement dangereuse.
L’OFCS confirme à Blick constater depuis un mois une hausse des signalements liés à des réservations d’hôtel. L’objectif, lui, reste toujours le même: soutirer de l’argent dans la précipitation, en jouant sur la peur de perdre sa réservation ou sur la promesse d’un remboursement.
Une fuite de données a touché le géant du voyage en avril. Une brèche rapidement exploitée par des escrocs. L'entreprise néerlandaise refuse de préciser le nombre de personnes concernées ainsi que les régions touchées.
Anciens et futurs voyages touchés
Deux méthodes semblent aujourd’hui utilisées pour piéger les voyageurs. La première repose sur d’anciennes réservations. Les pirates exploitent les données issues de la fuite pour faire croire aux clients qu’ils ont droit à un remboursement à la suite d’une erreur. Les victimes sont alors invitées à cliquer sur un lien qui les mène vers un faux site au nom de Twint, avant d’être redirigées vers une banque. C’est là que le piège se referme: elles doivent saisir les données de leur carte de crédit.
La deuxième méthode cible les séjours en cours ou à venir. Cette fois, les victimes sont contactées via la messagerie officielle de Booking.com, par e-mail ou par WhatsApp. Les escrocs leur mettent la pression: il faut répondre vite, sous peine de perdre sa réservation.
Léonie*, une trentenaire genevoise, a justement vécu cette situation. Elle a reçu un message WhatsApp de son prétendu hôtel lui demandant d’effectuer «une dernière étape» afin de confirmer entièrement sa réservation, alors présentée comme «en attente». Le message se voulait rassurant: «Il s’agit d’une procédure standard dans notre processus. Cela ne prend que quelques minutes et ne nécessite aucun paiement.»
Léonie avait cinq heures pour compléter cette «étape finale» en cliquant sur un lien. Passé ce délai, prévenait le message, «le système libérera automatiquement la réservation et ces dates redeviendront disponibles». «Quand j’ai vu le message, j’étais fatiguée et en panique, car je l’ai découvert après le délai. Mais en y regardant de plus près, j’ai trouvé ça bizarre. Mais j’ai quand même beaucoup douté», confie-t-elle.
Les escrocs mettent la pression
Plusieurs détails finissent par lui mettre la puce à l’oreille. L’hôtel réservé se trouve en Italie, mais le numéro qui la contacte est brésilien. Surtout, juste après sa réservation sur Booking.com, l’hôtel l’avait déjà contactée via la plateforme pour lui transmettre un numéro différent. Léonie contacte alors l'hôtel qui lui confirme bel et bien que le message est une arnaque. «Je pense aux personnes âgées, comme ma mère, qui pourraient tomber dans le panneau. Les escrocs mettent un coup de pression pour qu’on agisse rapidement.»
Selon l’OFCS, la plupart des Suisses qui ont signalé ces faits ont identifié la tentative d’hameçonnage à temps et n’ont subi aucun préjudice. Impossible, en revanche, de chiffrer aujourd’hui le montant total des dommages. Impossible aussi de savoir combien de personnes ont réellement été touchées.
«L’OFCS n’est pas en possession de chiffres précis, car ce phénomène ne fait pas l’objet d’une catégorie distincte. Les signalements sont enregistrés sous la catégorie principale 'Hameçonnage'», indique l’office. En moyenne, il enregistre une dizaine de signalements par mois liés à ce type de fraude. Mais en mai, ce chiffre a explosé pour atteindre 93. Et il ne s’agit probablement que de la pointe de l’iceberg: toutes les victimes ne font pas de signalement.
Booking, Airbnb, Expedia
Un rapport de l’entreprise de sécurité informatique Norton, publié le 28 mai, recense au moins 350 hébergements compromis dans 50 pays. La plupart se trouvent en Allemagne, en France, au Royaume-Uni, en Espagne ou encore en Italie. Le phénomène, lui, n’est pas nouveau: il est observé depuis plusieurs années. «La hausse actuelle du nombre de signalements serait liée à la fuite de données survenue chez Booking en avril», précise l’OFCS.
L'Office fédéral de la cybersécurité fournit des recommandations si vous recevez ce type de message:
En règle générale, ne communiquez jamais vos mots de passe ni vos informations de carte bancaire sur un site web auquel vous avez accédé via un lien figurant dans un e-mail ou un SMS.
Faites preuve de vigilance si vous recevez des messages non sollicités concernant un remboursement ou la vérification urgente de vos données de cartes de crédit, même si les expéditeurs connaissent les détails relatifs à votre réservation.
Ne cliquez pas sur les liens contenus dans ces messages et ne saisissez jamais vos données de cartes de crédit ou vos coordonnées bancaires sur les sites auxquels mènent ces liens.
Si vous avez des doutes quant à l’authenticité d’un message, connectez-vous directement à votre compte via l’application officielle ou le site web (sans utiliser les liens contenus dans le message) ou appelez l’hôtel en composant le numéro de téléphone officiel que vous aurez cherché personnellement au préalable.
Pour obtenir un remboursement, vous ne devez jamais saisir des données d’accès ou scanner des codes QR.
Que doivent faire les personnes qui ont cliqué sur le lien ou transmis des informations?
Si vous avez déjà enregistré des données de carte de crédit sur un tel site, prenez immédiatement contact avec votre établissement financier ou l’émetteur de votre carte de crédit pour faire bloquer votre carte.
Si vous avez subi un préjudice financier, l’OFCS recommande de déposer une plainte pénale auprès de la police locale. Le site web Suisse ePolice vous permet de chercher les postes proches de chez vous.
L'Office fédéral de la cybersécurité fournit des recommandations si vous recevez ce type de message:
En règle générale, ne communiquez jamais vos mots de passe ni vos informations de carte bancaire sur un site web auquel vous avez accédé via un lien figurant dans un e-mail ou un SMS.
Faites preuve de vigilance si vous recevez des messages non sollicités concernant un remboursement ou la vérification urgente de vos données de cartes de crédit, même si les expéditeurs connaissent les détails relatifs à votre réservation.
Ne cliquez pas sur les liens contenus dans ces messages et ne saisissez jamais vos données de cartes de crédit ou vos coordonnées bancaires sur les sites auxquels mènent ces liens.
Si vous avez des doutes quant à l’authenticité d’un message, connectez-vous directement à votre compte via l’application officielle ou le site web (sans utiliser les liens contenus dans le message) ou appelez l’hôtel en composant le numéro de téléphone officiel que vous aurez cherché personnellement au préalable.
Pour obtenir un remboursement, vous ne devez jamais saisir des données d’accès ou scanner des codes QR.
Que doivent faire les personnes qui ont cliqué sur le lien ou transmis des informations?
Si vous avez déjà enregistré des données de carte de crédit sur un tel site, prenez immédiatement contact avec votre établissement financier ou l’émetteur de votre carte de crédit pour faire bloquer votre carte.
Si vous avez subi un préjudice financier, l’OFCS recommande de déposer une plainte pénale auprès de la police locale. Le site web Suisse ePolice vous permet de chercher les postes proches de chez vous.
Contacté par Blick, Booking indique avoir enregistré des activités suspectes durant cette période. Si des informations sensibles liées aux réservations ont pu fuiter, «aucune information financière, adresse postale ou mot de passe» n’aurait été transmise. Le géant du voyage assure avoir depuis mis à jour le code PIN de ces réservations et informé les clients concernés.
Certains de ses partenaires hôteliers ont également été la cible de campagnes d’hameçonnage «sophistiquées». Selon «Le Monde», Airbnb et Expedia seraient aussi concernés par ce type d’escroquerie. Le quotidien français avait d’ailleurs testé le piège en entrant les données d’une fausse carte bancaire sur l’un de ces sites frauduleux. Deux minutes plus tard seulement, les journalistes recevaient une alerte: quelqu’un tentait d’acheter pour 400 euros de cartes-cadeaux depuis l’Australie.
La mécanique est simple, mais efficace: des informations réelles, un message personnalisé, un délai très court et un lien frauduleux. Alors, avant de rêver cocktails sur la plage, un réflexe s’impose: ne jamais cliquer dans la précipitation. En cas de doute, mieux vaut contacter directement l’hôtel ou la plateforme via les canaux officiels..
