Une campagne de Phishing ciblant le secteur de l'hôtellerie usurpe l'identité d'Expedia et de Cloudbeds
8 septembre 2025
Par Samantha Clarke, Ankit Gupta et l'équipe de recherche sur les menaces de Mimecast
- Campagne de collecte d'identifiants à grande échelle ciblant les professionnels du secteur de l'hôtellerie
- Se fait passer pour des plateformes de gestion hôtelière de confiance telles qu’Expedia Partner Central et Cloudbeds
- Ces campagnes tirent parti de la confiance que suscitent les notifications habituelles relatives aux réservations d'hôtel et aux commissions
Présentation de la campagne
Samantha Clarke, Ankit Gupta et l'équipe de recherche sur les menaces de Mimecast ont identifié une campagne de Phishing en cours visant spécifiquement les professionnels du secteur de l'hôtellerie et de la restauration, par le biais d'e-mails frauduleux se faisant passer pour les plateformes Expedia Partner Central et Cloudbeds. Cette opération de collecte d'identifiants tire parti du caractère routinier des communications liées aux réservations d'hôtel pour inciter les destinataires, par la ruse, à divulguer leurs identifiants de connexion.
Cette campagne utilise des objets de courriel percutants et essentiels à l'activité, conçus pour inciter les directeurs et le personnel des hôtels à agir sans délai. Parmi les messages courants, on trouve les alertes de suivi des commissions, les mises à jour du système, les confirmations de réservation des clients et les notifications de l'espace partenaires. Ces thèmes mettent en avant le caractère urgent des opérations dans le secteur de l'hôtellerie, où tout retard dans le traitement des réservations des clients ou des alertes système peut avoir un impact direct sur le chiffre d'affaires de l'entreprise.
Les auteurs de ces menaces font preuve d’une connaissance approfondie des processus opérationnels du secteur hôtelier en rédigeant des e-mails qui font référence à des fonctionnalités spécifiques de certaines plateformes, telles que "Partner Central,", "(suivi des commissions)," et "(messages destinés aux clients)." Ces e-mails redirigent les destinataires vers des pages de connexion frauduleuses qui imitent fidèlement les interfaces légitimes d'Expedia et de Cloudbeds, dans le but de récupérer les noms d'utilisateur, les mots de passe et, éventuellement, les jetons d'authentification à plusieurs facteurs.
Toutes les infrastructures malveillantes identifiées utilisent la plateforme d'hébergement d'applications de Vercel, ce qui laisse supposer que les attaquants tirent parti de la facilité de déploiement et de l'apparence légitime de ce service pour héberger leurs sites destinés à la collecte d'identifiants. L'utilisation systématique de noms de domaine et de sous-domaines liés au secteur de l'hôtellerie et de la restauration indique qu'il s'agit d'une campagne ciblée et spécifique à ce secteur, plutôt que d'une attaque de phishing opportuniste à large spectre.
Protection Mimecast
Mimecast a mis en place des fonctionnalités de détection permettant d'identifier et de bloquer les e-mails liés à cette campagne ciblant le secteur de l'hôtellerie. Notre service URL Protect bloque activement l'accès aux domaines malveillants identifiés, tandis que nos moteurs anti-Phishing détectent les schémas de messagerie et les caractéristiques des objets de courriel propres à la campagne.
Nous continuons à surveiller les nouveaux domaines et les nouvelles tactiques utilisés par cet acteur malveillant, et nous mettons à jour nos capacités de détection à mesure que la campagne évolue.
Objectifs
Public cible principal : les professionnels du secteur de l'hôtellerie, notamment les directeurs d'hôtel, le personnel chargé des réservations et les propriétaires d'établissements utilisant les plateformes Expedia Partner Central et Cloudbeds
Couverture géographique : mondiale, avec une attention particulière portée aux régions où l'activité de réservation hôtelière est importante
Secteurs d'activité : Hôtellerie-restauration
Indicateurs de compromission (IOC)
Domaines malveillants :
- Noms de domaine sur le thème de Cloudbeds :
- cloudbeds-extranet-verification[.]vercel[.]app
- console-dashboard-vv[.]vercel[.]app
- hotel-cloudbeds-app[.]vercel[.]app
- reservation-system-cloudbeds[.]vercel[.]app
- dashboard-cloudbeds-sign[.]vercel[.]app
- view-dashboard-lodge[.]vercel[.]app
- pms-cloud-beds[.]vercel[.]app
- siginin-dashboard-app[.]vercel[.]app
- cloudbeds-app[.]vercel[.]app
- cloudbeds-reservatiob-signin[.]vercel[.]app
- cloudbeds-verification-manager[.]vercel[.]app
- cloudbeds-verification[.]vercel[.]app
- cloudbeds-service-page[.]vercel[.]app
- signin-cloudbeds-dashboard[.]vercel[.]app
- cloudbeds-welcome-message[.]vercel[.]app
- app-cloudbeds-online[.]vercel[.]app
- cloudbeds-reservetion-dashboard[.]vercel[.]app
- extranet-cloudbeds-okto[.]vercel[.]app
Noms de domaine sur le thème d'Expedia :
- expedia-group-reservation-view[.]vercel[.]app
- réservation-d'hôtel-expedia[.]vercel[.]app
- partner-central-okta[.]vercel[.]app
- preferences-dashboard[.]vercel[.]app
- expedia-new-signin[.]vercel[.]app
- expedia-partner-cental-reservation[.]vercel[.]app
- extranet-expedia-group-central[.]vercel[.]app
- expedia-group[.]vercel[.]app
- expedia-customer-reservetion[.]vercel[.]app
- expedia-proccess-signin[.]vercel[.]app
- expedia-lodge-dashboard[.]vercel[.]app
- expedia-central-approve[.]vercel[.]app
- partner-expedia-pro[.]vercel[.]app
- expedia-group-service[.]vercel[.]app
- access-expedia-verification[.]vercel[.]app
- expedia-payment-verification[.]vercel[.]app
- expedia-payment-validation[.]vercel[.]app
- expedia-service-app[.]vercel[.]app
- expedia-customer-application[.]vercel[.]app
- v0-reservation-expedia-partner[.]vercel[.]app
Objets courants :
- Objet : NC 20241 - Confirmez dès maintenant : assurez-vous de bien suivre les commissions
- Objet : Alerte système importante – Réf. n° 8864560
- Objet : Nouveau message d'un client – Réf. : 3779748
- Objet : Réservation n° XP-2232111 en attente
- Objet : Mise à jour du système des partenaires — enregistrement n° 3284891
- Transfert : Message en attente dans Partner Central
- Objet : Réservation d'un client reçue via Cloudbeds
- Transfert : Notification Cloudbeds – Chambre double Premium réservée
Recommandations
Formation de sensibilisation des utilisateurs
- Sensibilisez le personnel de l'hôtellerie à la détection des e-mails frauduleux liés aux réservations et aux commissions
- Réalisez des simulations de Phishing ciblées à partir de scénarios inspirés du secteur de l'hôtellerie-restauration
- Formez les employés à vérifier les alertes urgentes du système via les canaux officiels de la plateforme avant de cliquer sur des liens
Mise en œuvre de la politique de sécurité
- Mettez en place l'authentification multifactorielle pour tous les comptes de la plateforme de gestion hôtelière (dans la mesure du possible)
- Mettre en place des procédures de vérification pour les alertes système reçues par e-mail
- Mettez en place des règles exigeant que le personnel accède aux plateformes Expedia et Cloudbeds directement via des URL enregistrées dans ses favoris, plutôt que par le biais de liens contenus dans des e-mails
Recherche proactive des menaces
- Vérifiez les journaux d'URL afin de repérer les tentatives d'accès aux domaines hébergés par Vercel contenant des mots-clés liés à l'hôtellerie
- Passez en revue les journaux de messagerie à la recherche de messages contenant les modèles d'objet identifiés
- Examinez les tentatives d'authentification sur les plateformes de réservation d'hébergements provenant de zones géographiques inhabituelles