[Tribune] Se protéger contre la fraude dans l'industrie du voyage et de l'hôtellerie
Quels sont les modes opératoires des cyberattaquants ciblant l'industrie du voyage et de l'hôtellerie. Voici quelques bonnes pratiques à destination des entreprises du secteur et des consommateurs pour ne pas tomber dans leurs pièges.
Je m'abonneLa fraude dans l'industrie du voyage et de l'hôtellerie désigne les activités illégales visant principalement les compagnies aériennes, les hôtels, les plateformes de réservation et d'autres services tels que la location de voitures ou les excursions. Cette fraude s'articule autour de diverses tactiques, techniques et procédures (TTP) exécutées par des cyber attaquants sur une variété de forums, places de marché, boutiques en ligne et plateforme de messagerie publique. Un important marché clandestin, dont peuvent se protéger les entreprises du secteur et les consommateurs à la recherche d'une bonne affaire. Quel est le mode opératoire de ces cyber attaquants ? Comment ne pas tomber dans leurs pièges ?
Un gros business sur le dark web
La fraude liée aux voyages et à l'hôtellerie repose notamment sur des données de transactions sans carte (CNP) et des points de fidélité volés, qui sont utilisés pour acheter des billets d'avion, des chambres d'hôtel et diverses autres offres de voyage avec l'objectif de les revendre ensuite à un prix considérablement réduit. Les acteurs malveillants créent aussi des comptes fictifs, détournent des comptes officiels ou parviennent à convaincre des hôtes « obscurs » peu scrupuleux de procéder aux paiements sans donner en retour une véritable réservation.
Des annonces frauduleuses sont ensuite créées à partir de comptes issus d'attaque par force brute en vente sur les marchés du dark web ou d'informations de connexion volées, puis achetées pour prendre le contrôle de comptes et les utiliser. Outre ces publicités des services « d'agence de voyage » frauduleux, les cybercriminels commercialisent également de faux passes sanitaires et certificats de vaccination contre le Covid-19.
Une récente étude de Recorded Future révèle que 4 000 références de fraude sur le dark web, lieu de trafic illicite où la confidentialité est poussée à l'extrême, ont affecté les compagnies aériennes et le secteur de l'hôtellerie dans le monde entier l'année dernière. Selon un rapport d'Eurocontrol en charge de la sécurité aérienne, même pendant la pandémie de Covid-19, l'industrie du transport aérien aurait connu une augmentation de 530 % des incidents de cybercriminalité.
Et cela rapporte gros
Selon l'étude de Recorded Future, 156 références de ventes illégales de billets d'avion sont principalement liées aux chaînes et aux groupes Telegram connus pour se livrer à ce type de fraude. Un marché illicite estimé à 1,2 million de dollars au cours des neuf premiers mois de 2021, bien que ce chiffre ne soit probablement que la partie émergée de l'iceberg.
Les cartes de fidélité sont également dans la ligne de mire des fraudeurs, un filon fructueux évalué à plus de 11 milliards de dollars d'ici 2025. Les points de fidélité peuvent être utilisés, comme les données de transaction sans carte (CNP) pour tout type de réservations liées au voyage et à l'hôtellerie. Cela est particulièrement difficile à détecter, car les criminels obtiennent généralement suffisamment d'informations personnelles, par le biais de l'ingénierie sociale ou d'autres tactiques, pour se faire passer pour le véritable utilisateur. Les comptes de fidélité sont souvent mal sécurisés et la victime ne se rend compte de sa perte qu'après avoir vérifié son solde.
Comme pour une majeure partie de la cybercriminalité, ce marché florissant de la fraude dans le voyage et l'hôtellerie est alimenté par des violations de données. Depuis le 1er janvier 2021, les experts de Recorded Future ont recensé dans le monde entier plus de 4,4 millions d'informations d'identification divulguées concernant des compagnies aériennes, agences de voyage et entreprises du secteur hôtelier. Une autre tactique classique pour obtenir illicitement des informations personnelles consiste à hameçonner les victimes elles-mêmes. Les acteurs malveillants utilisent même des techniques d'hameçonnage pour escroquer les utilisateurs des sites des services PreCheck, Global Entry et NEXUS de la Transportation Security Administration (TSA). PreCheck permet aux utilisateurs enregistrés d'être dispensés de certains contrôles dans les aéroports américains pour une expérience simplifiée.
La contre-attaque
Pour freiner cette tendance croissante à la fraude dans le voyage et l'hôtellerie, les entreprises du secteur exposées à ce risque peuvent tout d'abord étendre les mesures de sécurité déjà en place. En effet, il est essentiel de corriger les vulnérabilités des systèmes critiques, de tester un plan de réponse aux incidents en place, ce qui permet d'être mieux préparé aux inévitables changements à mettre à jour. L'utilisation du renseignement sur les menaces augmentera l'efficacité d'actions à rapidement mettre en oeuvre pour réduire davantage le risque. Elles consistent notamment à rechercher sur le dark web de la publication des informations d'identification des clients volées sur leurs appareils infectés et à identifier des accès à la vente dans ses réseaux via un éventail de marchés criminels.
Plusieurs techniques de précaution simples contribuent fortement à protéger les consommateurs de la fraude dans le voyage et l'hôtellerie. Il est fondamental de n'acheter que sur des sites officiels ou connus, et non sur les réseaux sociaux. Les faux sites d'agences de voyages sont facilement identifiables car ils utilisent souvent des domaines internet nationaux de premier niveau, tels que « .eu », « .ru », « .ua » et affichent parfois des icônes inactives, telles que « AppStore », « Google Play », pour apparaître plus authentiques. Il va également de soi que l'on ne doit jamais répondre aux appels non sollicités proposant des offres de vacances et que l'on doit toujours vérifier les conditions générales avant d'effectuer un achat. La communication directe avec le propriétaire ou son agent permet d'évaluer la crédibilité des réponses à des questions spécifiques sur la réservation, les prestations incluses, la région et la localisation du lieu de séjour. Et en fin de parcours avant de valider un achat, ne pas oublier de bien vérifier les conditions générales de vente et en particulier la politique de remboursement.