Alors que le mois d'avril s’apprête à pointer le bout de son nez, les premiers beaux jours et les rayons de soleil vous donnent certainement l’envie de partir en week-end dans les prochaines semaines, ou encore de commencer à réserver votre logement pour les vacances d’été. Toujours au fait de l’actualité, les escrocs ont flairé le bon filon et se font désormais passer pour Booking, site de référence de réservation d’hébergement en ligne. Voici comment se protéger face à cette arnaque grandissante.

Un mail de Booking vous demande de ''confirmer votre identité'' ? Méfiez-vous

Comme l’expliquent nos confrères de Phonandroid, c’est Microsoft qui a récemment repéré cette nouvelle tentative d’arnaque, qui devrait se montrer de plus en plus insistante dans nos mails à l’approche des vacances estivales. À l’image des tentatives de phishing par mail dites ''classiques'', le principe est relativement simple : les escrocs vous envoient un premier mail, usurpant l'entité Booking afin de vous faire procéder à un ''rapide processus de vérification'', de quoi ''assurer la sécurité de votre compte Booking''.

Dans le corps du mail envoyé, les escrocs vous invitent à cliquer sur un bouton intitulé ''Confirmer mon identité''. Comme d’habitude, l’objectif est de vous rediriger vers un site frauduleux, reprenant les éléments et les codes visuels du vrai site Booking, pour ensuite dérober vos données personnelles voire bancaires.

Mais ce n’est pas tout : si vous faites l'erreur de cliquer sur le lien frauduleux, un CAPTCHA va apparaître au centre de l’écran afin de prouver au site que vous n’êtes pas un robot. Si habituellement, il s’agit d’une simple énigme à résoudre, ce message automatique est bien différent – c’est justement ce qui doit vous mettre la puce à l’oreille.

Un CAPTCHA piégé

Comme Frandroid l’explique, le message-test CAPTCHA mis en place vous demande ''d'appuyer sur les touches Windows + R de votre clavier, ce qui ouvre la fonction Exécuter, puis d’appuyer sur CTRL + V pour y coller une ligne de commande préalablement placée par le faux site dans votre presse-papier, à votre insu''. Après avoir appuyé sur ''Entrée'', le piège se referme, avec l’installation de plusieurs malwares sur votre appareil. Ces malwares sont programmés pour récolter et envoyer vos données personnelles et bancaires aux hackers.

Pour piéger les plus crédules, les pirates tentent de créer, comme souvent, un sentiment d’urgence. Dans le cas de cette arnaque, Booking étant un site utilisé par des millions de touristes du monde entier, les escrocs prétendent que votre compte Booking sera bloqué si vous ne cliquez pas sur le lien frauduleux.

Comment s'en protéger ?

Alors, que faire face à cette arnaque au potentiel redoutable ? Comme toujours, le premier réflexe est de ne cliquer sur aucun lien ainsi que d’examiner l’adresse mail de l’expéditeur. Ensuite, et dans le cas précis de cette tentative de phishing, mettez-vous en tête qu’aucun site de confiance ne vous imposera ce genre de CAPTCHA. Le plus souvent, il s’agit de requêtes simples, comme remettre une image à l’endroit, résoudre un simple puzzle, ou encore identifier des objets précis dans des photographies.

Si par malheur, dans la précipitation, vous avez cliqué sur l’un de ces liens et qu’un tel CAPTCHA apparaît sur votre écran avant de pouvoir accéder au prétendu site de Booking, rien ne sert de tergiverser : il s'agit bel et bien d'une tentative d'arnaque. Ne complétez surtout pas les étapes du CAPTCHA, fermez la page, avant de signaler puis de supprimer le mail frauduleux.

Sources : Phonandroid, Microsoft Security