Phishing 3.0 : Comment les "Reservation Hijacks" utilisent vos vraies données pour vous piéger
Le secteur du voyage et du voyage d'affaires fait face à une vague de cyberattaques sophistiquées baptisées "Reservation Hijack". Contrairement au phishing classique, ces escroqueries s'appuient sur des données de réservation réelles pour tromper les victimes , rendant la détection quasi impossible sans une vérification rigoureuse des flux de paiement.
Le "Reservation Hijack" ne repose pas sur le hasard.
Selon les récentes analyses des chercheurs de chez Norton, les cybercriminels parviennent à s'introduire dans les systèmes de gestion hôtelière ou à compromettre les comptes de partenaires sur des plateformes comme Booking.com.
Cette intrusion leur donne ensuite accès à l'historique complet des clients : noms, dates de séjour, numéros de réservation et tarifs.
Une fois ces données en main, l'attaquant contacte le client via les canaux officiels de la plateforme.
« Le message peut provenir d'une plateforme de confiance, rendant l'arnaque significativement plus difficile à détecter », explique Norton.
Pour le DSI et les RSSI, le défi est de taille : la menace ne vient pas d'un mail externe suspect, mais de l'outil de réservation lui-même.
Le mécanisme du piège : l'urgence comme levier
Le scénario est quasi systématiquement le même : le voyageur reçoit une notification (SMS, WhatsApp ou messagerie interne de la plateforme) signalant un problème de paiement.
Sous peine d'annulation de la chambre, il est alors invité à cliquer sur un lien de "vérification" ou de "nouveau paiement".
Il est alors redirigé vers des pages de paiement clonées, conçues pour capturer les coordonnées bancaires de l'entreprise ou du salarié.
@ Exemple de messages frauduleux reprenant des informations de réservation réelles.
Usurpation d'identité et perte de fonds
Pour le collaborateur en déplacement, le risque est double :
- L'usurpation d'identité
- La perte de fonds personnels si la carte de l'entreprise n'est pas utilisée
Et le risque s'étend au-delà du simple séjour.
Les données collectées lors de ces attaques peuvent alimenter des campagnes de phishing ultérieures encore plus ciblées ou être revendues sur le dark web pour faciliter des fraudes au président (BEC).
@ Exemple de messages frauduleux reprenant des informations de réservation réelles.
Stratégies de défense et hygiène numérique
Face à cette professionnalisation de la fraude, les entreprises doivent sensibiliser à une règle d'or : ne jamais cliquer sur un lien de paiement reçu par messagerie, même si l'expéditeur semble légitime.
Il est impératif de privilégier les canaux de communication directs :
- Se connecter manuellement au portail de réservation officiel sans passer par le lien du message.
- Contacter l'établissement hôtelier par téléphone via un numéro vérifié indépendamment.
- Signaler immédiatement toute anomalie à la plateforme (Booking, Expedia, etc.) et au service sécurité interne.
Le Reservation Hijack marque peut être la fin de l'ère du phishing "visible".
La sécurité dépend désormais de la capacité des organisations à imposer une vérification "Zero Trust" sur chaque transaction financière.
Et ce même lorsqu'elle semble s'inscrire dans un flux métier parfaitement normal.







Reply With Quote