Le cheval de Troie
La première cyberattaque est une arnaque bien montée de (faux) clients Booking.com. On a repéré Christian Robinson (Espagne), Alisa Matasova (Espagne), Lie Hang (Chine) et Song Jerem (Chine) mais ils prendront sûrement rapidement un autre nom. Leur méthode est simple, ils vous demandent l’adresse mail directe de l’hôtel sous prétexte de vous envoyer un mail contenant un lien prétendument de Google Maps.
Or ce lien contient un fichier exécutable contenant un ensemble de virus. Ceux-ci s’emparent notamment de vos mots de passe enregistrés dans les navigateurs web, les cookies de sessions (si vous avez changé le mot de passe et avez fermé votre navigateur sans vous déconnecter…), communiquent avec le serveur à distance des cybercriminels… et bien d’autres éléments pas tous encore définis.
Dans tous les cas vos PC et tout votre réseau peuvent être infectés. Il semble que l’objectif soit de prendre notamment la main sur votre extranet Booking.com pour changer votre nom d’enseigne, vos coordonnées, chambres et vos tarifs.
A noter : certains antivirus (une petite dizaine seulement) détectent le lien contaminé et d’autres non ! Soyez vigilants dès le message envoyé via la messagerie Booking.com. Certes de plus en plus d’antivirus vont pouvoir détecter le fichier malveillant mais en parallèle les cybercriminels risquent de développer d'autres virus similaires si le premier se trouvait systématiquement bloqué.
A retenir : La procédure suivi par les cybercriminels va probablement évoluer mais pour l’instant on est sur un schéma simple : un client arrivant par Booking.com fait une demande d’adresse mail direct (l’objectif étant de sortir de l’environnement Booking.com) quel qu'en soit le prétexte. Par la suite, ils envoient un mail incitant l'hôtel à cliquer sur un lien (ou ouvrir une pièce-jointe). Toute demande de client suivant ce schéma doit être considérée comme fortement suspect. Informez bien tous les membres de vos équipes qui ont accès à vos adresses mails de la situation !
Le phishing de vos clients
La seconde cyberattaque est plus subtile car elle peut provenir du hacking précédent comme d’une autre faille de sécurité que nous n’avons pas encore détectée. Les cybercriminels prennent contact directement avec vos clients Booking soit via la messagerie de l’extranet soit via WhatsApp. Dans tous les cas les clients sont invités à cliquer sur un lien et à indiquer leur carte bancaire.
Comment réagir
Le GNI vous invite tout d’abord à :
- Préserver autant que possible toutes les preuves possibles (copies d’écran…) par votre prestataire informatique ;
- Faire un scan de tous vos PC (par exemple avec Rogue Killer)
- Changer tous vos mots de passe même si vous l’avez fait récemment (tant que le PC est infecté le changement de mot de passe reste une procédure insuffisante) et en utilisant un mot de passe très fort.
Le GNI vous invite également à vérifier au plus vite si vous êtes concerné par l’une ou l’autre des attaques et à bien vous assurer que votre antivirus est à jour (attention certains antivirus ne détectent pas le fichier malveillant).
Si vous êtes concernés, il faut être très rigoureux :
- Pour éviter que la fraude se poursuive, pour l’instant la seule parade connue est de couper la connectivité avec le site infecté (Booking.com, le site direct…).
- Déposez plainte au commissariat le plus proche pour atteinte à un système de traitement automatisé de données STAD (articles 323-1 à 323-7 du Code pénal) et faites-nous remonter les numéros de procédures afin que nous puissions les communiquer au parquet ;
- Faites une déclaration à la CNIL pour signaler la faille de sécurité, en indiquant Booking.com comme organisme tiers impliqué ;
- Prévenez les clients concernés de la faille de sécurité ainsi que les autres clients de ne pas cliquer sur ce type de lien (obligation prévue par le RGPD ;
- Faites un signalement à Booking.com sur le lien suivant https://partner.booking.com/en-us/help/legal-security/security/report-security-issue ;
Les actions du GNI
Le GNI a été prévenu très tôt de ces cyberattaques et a immédiatement veillé à vous prévenir (notamment via les réseaux sociaux).
De même Booking.com a été contacté immédiatement pour s’assurer que la situation était bien prise en main par leur Département Sécurité. Aucune confirmation écrite n’est encore parvenue au GNI.
Le GNI a notamment saisi la plateforme cybermalveillance.gouv.fr qui l’accompagne désormais pour coordonner la réaction des hôteliers. Ils ont également transmis les éléments au Parquet de Paris. Celui-ci a la compétence pour rassembler toutes les affaires dont les plaintes auraient été déposées d’où notre besoin de recenser l’étendue des attaques et tous les numéros de dépôts de plainte.
Il a pour l’instant mandaté l’OCLCTIC (Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication) qui va donc surveiller de près l’évolution de ces cybercriminels.
De même la DGCCRF et la CNIL ont été informés par le GNI de ce dossier afin de leur signaler le manque d’accompagnement de Booking.com dans cette faille de sécurité (dont on n’exclut pas qu’elle vienne pour partie de chez eux) notamment dans la détection des réservations frauduleuses et son manque de communication auprès des utilisateurs (consommateurs) de leur plateforme (Obligation RGPD).
A noter : Pour attraper les cybercriminels, les enquêteurs vont avoir besoin d’hôtels volontaires qui acceptent de mettre sous séquestre les machines de l’hôtel potentiellement compromises avant tout nettoyage pour éviter de perdre les traces.
Merci de vous signaler à la directrice Europe et Numérique du GNI, Véronique Martens, v.martens@gni-hcr.fr si vous êtes volontaires d’une part, si vous avez le moindre doute ou le moindre élément susceptible de faire avancer l’affaire.
#Cyberattaque#
samedi 14 janvier 2023