Semaine 47: les hôtels dans la ligne de mire des cybercriminels

28.11.2023 - Les cybercriminels ont mis au point de nouvelles façons de piéger les hôtels et leurs clients. Dernièrement, ils adressent des courriels à des hôtels dans lesquels ils prétendent avoir été piqués par des punaises de lit ou filmés dans leur chambre et être maintenant victimes de chantage. L’objectif: inciter le personnel de l’hôtel à installer un logiciel malveillant. 

En début d’année, le NCSC avait déjà mis en garde dans une de ses rétrospectives hebdomadaires contre les tentatives d’escroquerie dans lesquelles un cybercriminel se faisant passer pour le réceptionniste d’un hôtel prenait contact avec les clients dans le but d’obtenir les données de leur carte de crédit. Pour parvenir à ses fins, il entamait une conversation sur WhatsApp avec les personnes qui avaient réservé une chambre d’hôtel. Il connaissait tous les détails de la réservation et utilisait ces informations pour convaincre son interlocuteur qu’il s’agissait bien d’une demande de l’hôtel. Le NCSC soupçonnait alors les cybercriminels d’avoir réussi à accéder au compte que l’hôtel avait sur le portail «booking.com». Des signalements récents ont permis de mieux saisir la manière dont les escrocs tentent d’installer des logiciels malveillants sur le système informatique des hôtels, afin de voler les données d’accès aux plateformes de réservation en ligne.

Photos et vidéos provenant prétendument de la chambre d’hôtel

Les signalements que le NCSC a reçus la semaine dernière indiquent qu’un grand nombre d’hôtels sont actuellement la cible de cyberattaques. Les pirates utilisent différentes méthodes d’ingénierie sociale pour inciter le personnel de l’hôtel à cliquer sur un lien et à installer un logiciel malveillant.

Dans une des formes d’escroquerie, le cybercriminel se fait passer pour un client et adresse un courriel à l’hôtel. Il prétend que des escrocs le font chanter au moyen d’images pornographiques prises dans la chambre qu’il a occupée. Le prétendu client donne deux jours à l’hôtel pour tirer l’affaire au clair et trouver le coupable, faute de quoi l’hôtel sera considéré comme complice du chantage. À titre de preuve, il mentionne que toute la documentation relative à l’affaire a été archivée et qu’il est possible de la télécharger en cliquant sur le lien indiqué dans le courriel.

L’activation du lien entraîne le téléchargement d’un fichier ZIP de 50 MB qui, une fois décompressé, se transforme en un fichier exécutable de 637 MB. La taille du fichier vise sans doute d’une part à donner l’impression qu’il s’agit de données volumineuses, comme des vidéos ou des photos, et d’autre part à contourner les logiciels antivirus, les fichiers volumineux étant souvent ignorés lors de l’analyse. Le fichier est en réalité un logiciel malveillant.

Exemple de courriel dans lequel un cybercriminel se faisant passer pour un client de l’hôtel affirme qu’une caméra a été installée dans sa chambre et que la documentation prouvant ses allégations est accessible sous le lien indiqué.
Exemple de courriel dans lequel un cybercriminel se faisant passer pour un client de l’hôtel affirme qu’une caméra a été installée dans sa chambre et que la documentation prouvant ses allégations est accessible sous le lien indiqué.

L’intention des cybercriminels est claire: choquer le personnel de l’hôtel afin de l’inciter à agir de façon impulsive. Après avoir cliqué sur le lien menant au fichier, la victime a encore une chance de s’opposer à son téléchargement et d’éviter l’infection du système. Par ailleurs, en racontant une histoire choquante, les escrocs s’efforcent de détourner l’attention de leur victime des messages d’avertissement, afin de la pousser à valider toutes les étapes de la procédure en cliquant sur «OK».

Une fois installé, le logiciel malveillant permet aux cybercriminels d’enregistrer l’ensemble des données d’accès saisies et de s’en servir, notamment pour accéder aux réservations effectuées via des plateformes en ligne comme «booking.com».

Punaises de lits et problèmes de santé

D’autres formes de cyberattaques sont actuellement signalées au NCSC: un prétendu client adresse un courriel à un hôtel dans lequel il dit avoir séjourné. Il se plaint d’avoir été piqué par des punaises de lit et prétexte de graves problèmes de santé nécessitant un traitement médical. Là encore, le courriel contient un lien menant à un fichier ZIP sur Google Drive supposé contenir les documents prouvant les allégations de l’escroc. Il fournit également le mot de passe à saisir pour pouvoir y accéder.

Courriel des cybercriminels signalant de prétendues piqûres de punaises de lit. En cliquant sur le lien, le destinataire est censé pouvoir accéder à la documentation prouvant ces allégations.
Courriel des cybercriminels signalant de prétendues piqûres de punaises de lit. En cliquant sur le lien, le destinataire est censé pouvoir accéder à la documentation prouvant ces allégations.

Il est courant que les cybercriminels protègent un fichier malveillant avec un mot de passe. En effet, ils essaient de cette façon de déjouer les mécanismes de détection, d’identification et de désactivation immédiates mis en place sur Google Drive.

Cas signalés simultanément par des clients d’hôtels

Il n’a pas fallu attendre longtemps pour que le NCSC soit informé de l’exploitation des données volées. La semaine dernière, il a en effet reçu le signalement de personnes qui avaient réservé une chambre d’hôtel. Une fois la réservation exécutée, les victimes ont immédiatement reçu un courriel du portail «booking.com» les invitant à vérifier leurs données de carte de crédit dans les 24 heures, faute de quoi la réservation serait annulée. Le lien figurant dans le courriel menait vers une page d’hameçonnage personnalisée qui affichait les vraies données de réservation, ce qui confirme que les criminels ont préalablement dérobé ces informations sur le compte de l’hôtel sur «booking.com».

Page d’hameçonnage personnalisée qui affiche les données enregistrées dans le compte de l’hôtel sur «booking.com». Les escrocs ont préalablement volé les données d’accès à ce compte en se servant d’un logiciel malveillant.
Page d’hameçonnage personnalisée qui affiche les données enregistrées dans le compte de l’hôtel sur «booking.com». Les escrocs ont préalablement volé les données d’accès à ce compte en se servant d’un logiciel malveillant.

Mesures à prendre par les hôtels :

  • Déconnectez immédiatement du réseau l’ordinateur que vous soupçonnez d’avoir été infecté et utilisez un ordinateur sain pour changer les mots de passe que vous employez pour tous vos accès en ligne.
  • De nombreux programmes malveillants apportent au système des modifications profondes qui ne peuvent être facilement annulées. Par conséquent, si une infection est confirmée, le système tout entier doit être réinitialisé. Des sauvegardes régulières facilitent la restauration de vos données.
  • Le personnel des hôtels est amené à traiter une quantité considérable de documents fournis par les clients, mais les fichiers exécutables ne doivent être ouverts sous aucun prétexte.
  • Veillez à tenir votre système informatique à jour.
  • Envisagez de déconnecter du réseau les postes que vous utilisez pour communiquer avec les clients.

Mesures à prendre par les clients d’hôtels :

  • Les règles usuelles en matière d’hameçonnage s’appliquent. Elles sont mentionnées dans la rétrospective de la semaine dernière.
  • Si vous recevez un courriel d’hameçonnage, informez-en immédiatement l’hôtel et la plateforme de réservation concernés.

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 28.11.2023

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2023/wochenrueckblick_47.html