Le Centre national pour la cybersécurité alerte sur la recrudescence d’arnaques dans le domaine hôtelier. Si le personnel des hôtels est visé prioritairement, les clients sont également concernés.
L’arnaque est connue depuis belle lurette, mais elle a été perfectionnée. En substance, les arnaqueurs contactent sur WhatsApp les personnes ayant réservé une chambre d'hôtel. Ils connaissent alors tous les détails de la réservation et les utilisent pour convaincre leur victime qu'il s'agit bien d'une demande émanant de l'hôtel. Après quelques questions anodines sur l’heure d'arrivée par exemple, ils sollicitent les données de la carte de crédit et tentent d’inciter la victime à effectuer un paiement. L’un des indices de l’arnaque a trait au numéro de téléphone de l’appelant, qui est souvent étranger.
Comment ont-ils obtenu toutes ces informations sur la réservation me direz-vous ? Grâce à un piratage du compte « Booking » de l’hôtel par un classique hameçonnage. Mais également en utilisant un logiciel malveillant intitulé « RedLine Stealer », lequel permet de récupérer à partir des navigateurs web différentes informations telles qu’identifiants ou mots de passe enregistrés, informations de carte de crédit, etc. Ce logiciel est installé par le personnel de l’hôtel lui-même, après que les cybercriminels se sont fait passer pour des clients désireux de connaître l’emplacement exact ou d’annuler une réservation. Ils parviennent à convaincre les collaborateurs de cliquer sur le fichier malveillant qui leur est adressé.
Voici quelques astuces pour se prémunir de ce type d’arnaque, lorsque vous êtes le client.
En cas de doute au sujet de votre interlocuteur, demandez-lui son nom, son prénom et sa fonction. Interrompez l’appel et contactez l’hôtel au numéro principal en demandant à parler à la personne que vous venez d’avoir en ligne. Si elle est inconnue de l’établissement, il s’agit d’une preuve formelle du fait que l’on a tenté de vous gruger.
Si elle existe, interrogez-la sur l’appel que vous venez de recevoir. Demandez-lui, en particulier, quels ont été sa durée et les sujets abordés. Si vous nourrissez encore des doutes, demandez à payer directement à l’hôtel, ce qui ne devrait pas vous être refusé.
Les hôteliers devraient, quant à eux, former leurs collaborateurs à la détection des courriels ou des messages dolosifs. En cas de doute, ils doivent recevoir pour instruction formelle de contacter téléphoniquement le client. Il convient également de prendre des mesures techniques et organisationnelles, à l’instar de la désactivation de la prévisualisation automatique des courriels ou encore de lire les messages au format texte brut.
