Le hacker J0ckers est de retour sur Booking.com ?
Le groupement national des indépendants Hôtellerie et Restauration demande à ses adhérents de ne plus utiliser, pour le moment, Booking. Une faille semble permettre de piéger hôteliers et clients. ZATAZ vous explique le processus du hacker.
L’extranet de Booking.com exploité par les hôteliers utilisateurs a-t-il été impacté par un hacker ? Des pirates informatiques ont-ils trouvé une 0Day, une faille non publique, pour piéger clients et professionnels ? C’est la question que se pose le Groupement National des Indépendants Hôtellerie et Restauration (GNI). « Depuis une semaine le GNI vous alerte sur deux cyberattaques qui interviennent via votre extranet Booking.com. » explique le groupement.
Deux types d’attaques.
La première : de faux clients contactent, via l’extranet Booking de l’hôtelier, la direction de l’hôtel. Mission, récupérer une adresse électronique directe, sans passer par Booking, afin de transmettre des informations.
Pirater l’hôtelier pour piéger les clients
Dans le courriel que le pirate va ensuite envoyer à sa cible professionnelle, des liens. La plupart du temps, Bit.ly. Cette adresse raccourcie ressemble à une identification Booking : Booking-ID[série de chiffre d’identification de l’hôtelier].
Derrière ce lien, une redirection vers DropBox. Le « cloud » permet aux escrocs de stocker un dossier du même nom que le Booking-ID.
A l’intérieur de ce dossier, un ficher, un logiciel malveillant. Un cheval de Troie de type « stealer » qui va intercepter toutes les informations sensibles sauvegardées dans la machine de l’hôte. « Il semble que l’objectif soit de prendre notamment la main sur votre extranet Booking.com pour changer votre nom d’enseigne, vos coordonnées, chambres et vos tarifs. » souligne le GNI.
Une fois dans la place, les pirates usurpent l’hôtelier, contactent les clients via la messagerie Booking (ou WhatsApp).
Finalité de l’escroquerie, récupérer les coordonnées bancaires des clients ainsi piégés. Les escrocs ont mis en place de faux sites Booking pour parfaire le piège. Booking n’a pas pour le moment répondu au sollicitation du GNI. L’OCLCTIC (Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication) a la charge du dossier.
Dans la vidéo, ci-dessous, je vous montre le logiciel pirate utilisé.
Technique du J0ckers ?
Cette technique pirate, dite du J0ckers / Jocker Stash, reprend l’une des méthodes d’un groupe de carders (pirate spécialisé dans la fraude à la carte bancaire) des pays de l’Est, baptisé J0cker / Jocker. Des spécialistes de l’attaque de l’homme du milieu.
Les malveillants trouvent des stratagème pour se placer entre les deux victimes : clients et commerçants. Nous avions connu ce type de cyber attaque, il y a quelques années, avec une importante boutique de vente de billets de spectacles ou encore une chaîne de garages aux USA.
Les clients ne doivent, en aucun cas, cliquer sur un lien fourni dans la messagerie Booking. Surtout si l’hôtelier indique un problème de carte bancaire, de paiement, etc. Ne fournissez JAMAIS votre adresse électronique par ce même biais. Ne téléchargez JAMAIS un document qui vous est proposé par ce biais ou via une messagerie, d’autant plus si cette dernière est WhatsApp.
Dernier détail, ZATAZ vous a montré sur Youtube, en 2021, comment déchiffrer une adresse URL cachée sous une adresse Bit.ly. Un truc permettant de connaitre, facilement, la véritable direction camouflée derrière le micro lien proposé.
Fraudes multiples depuis des années
En 2014, Booking avait dû faire face à une fraude massive. Des pirates mettaient la main sur plusieurs milliers de clients. Les hackers malveillants réclamaient le paiement des séjours réservés.
En accédant aux réservations de Booking.com, les escrocs obtenaient des coordonnées clients.
Une escroquerie pointue. Les pirates téléphonaient aux clients, en usurpant des employés de Booking, afin d’orchestrer des prépaiements. Le voyagiste avait remboursé l’ensemble des clients piégés.
La British Hospitality Association (le pendant du GNI), qui représente l’industrie hôtelière britannique, confirmait alors que huit hôtels avaient été impactés. Booking.com confirmera par la suite des piratages de clients au Royaume-Uni, aux États-Unis, en France, en Italie, aux Émirats arabes unis et au Portugal.
A l’époque, il suffisait de s’inscrire en tant qu’hôtel fictif, pour accéder au système avec un identifiant et un mot de passe.
Booking fait face à des hordes de phishing. Une page dédiée a été mise en place afin d’alerter clients et hôteliers.