Arnaque mondiale : double paiement pour vos réservations d’hôtel, méfiez-vous

Une nouvelle forme d’arnaque menace les voyageurs et les hôtels du monde entier. Elle consiste à faire payer deux fois le même séjour, en ciblant aussi bien les clients que les établissements.

Comment fonctionne cette arnaque ?

Les victimes reçoivent souvent un e-mail ou un message WhatsApp qui semble provenir de leur hôtel. Le message est très crédible : il indique le nom de l’établissement, la date du séjour, et le montant à payer, sans erreur apparente. On leur demande alors de vérifier leurs informations bancaires, en invoquant une nouvelle politique de la plateforme de réservation, généralement Booking ou Expedia. Cependant, cette demande n’est qu’un leurre.

Une attaque qui vise aussi les hôtels

Ce sont principalement les hôtels eux-mêmes qui sont ciblés en premier. Des hackers envoient des courriels, souvent sous prétexte d’une réservation de dernière minute, avec un lien vers un site frauduleux ressemblant à celui de Booking. Si un réceptionniste ou un gérant clique sur le lien, un logiciel malveillant s’installe sur leur ordinateur. Les pirates ont alors accès à toutes les données : noms, adresses, dates de réservation, etc. Ces informations sont ensuite revendues sur le dark web, permettant aux cybercriminels de lancer des campagnes de phishing crédibles.

Les conséquences pour les clients

Les clients sont doublement victimes. Après avoir payé leur séjour une première fois, ils se retrouvent à devoir payer une seconde fois, cette fois aux hackers. C’est ce qu’on appelle l’arnaque « I paid twice » (J’ai payé deux fois). Selon l’entreprise de sécurité informatique Sekoia, cette campagne est bien organisée, avec un mode opératoire rodé.

Comment se protéger ?

Il n’existe pas de solution miracle pour éviter cette arnaque, qui est en circulation depuis avril 2025. La meilleure précaution reste de ne jamais cliquer sur un lien dans un message. Il faut se rendre directement sur le site officiel de la plateforme de réservation. Des bloqueurs d’arnaques, à installer sur ordinateur ou téléphone, peuvent aussi détecter et bloquer les liens frauduleux.