Le voyage est au cœur de l'attention des pirates informatiques ces derniers mois.
Après les attaques visant le BSP, American Airlines, Tap Air Portugal ou encore dernièrement Scandinavian Airlines (SAS) et sans doute de nombreuses compagnies françaises, une nouvelle vague de phishing sévit dans les rangs des professionnels du tourisme.
En début de semaine, nous avons reçu un mail qui semblait venir d'Air France intitulé "Résiliation du compte AgentConnectBiz".
Ce message est un peu étrange, surtout dans la boite mail d'un journaliste du voyage. Ni une ni deux, j'appelle la communication de la compagnie et alerte quelques geeks du voyage.
La sentence tombe : "c'est du phishing ultra classique.
La méthode est très souvent utilisée dans le cadre des fraudes bancaires," nous explique un patron d'une solution technologique. Une affirmation confirmée par le porte-parole d'Air France.
Après les attaques visant le BSP, American Airlines, Tap Air Portugal ou encore dernièrement Scandinavian Airlines (SAS) et sans doute de nombreuses compagnies françaises, une nouvelle vague de phishing sévit dans les rangs des professionnels du tourisme.
En début de semaine, nous avons reçu un mail qui semblait venir d'Air France intitulé "Résiliation du compte AgentConnectBiz".
Ce message est un peu étrange, surtout dans la boite mail d'un journaliste du voyage. Ni une ni deux, j'appelle la communication de la compagnie et alerte quelques geeks du voyage.
La sentence tombe : "c'est du phishing ultra classique.
La méthode est très souvent utilisée dans le cadre des fraudes bancaires," nous explique un patron d'une solution technologique. Une affirmation confirmée par le porte-parole d'Air France.
Qu'est-ce que le Phishing ou l'hameçonnage ?
Pour ceux qui ne connaissent pas l'anglicisme signifiant "hameçonnage", la technique consiste pour une personne, en l'occurrence un fraudeur, à se faire passer pour un organisme qui vous est familier (banque, administration fiscale, caisse de sécurité sociale…), selon la CNIL..
Pour arriver à leurs fins, les pirates utilisent différents canaux.
Si dans le cas présent, ils utilisent les mails, dans d'autres situations, ils peuvent envoyer de faux SMS. Les fraudes au colis ("Votre colis a été livré") ou encore de faux messages en provenance par exemple d'Ameli, qui sont bien connues.
"Il peut s’agir d’un faux message, SMS ou appel téléphonique de banque, de réseau social, d’opérateur de téléphonie, de fournisseur d’énergie, de site de commerce en ligne, d'administrations, etc.
Le but recherché est de voler des informations personnelles ou professionnelles (comptes, mots de passe, données bancaires…) pour en faire un usage frauduleux," poursuit la DGCCRF.
Dans le cadre de la campagne de phishing concernant AgentConnect d'Air France, les pirates tentent d'obtenir les identifiants et les mots de passe des agents de voyages.
Ainsi, il leur sera possible de pouvoir se connecter sur la plateforme et de pouvoir émettre des billets.
Cela vous rappelle quelque chose de déjà lu ? C'est normal.
En novembre dernier, nous vous relations le piratage d'Accelya, le prestataire de IATA pour le BSP. L'entreprise basée en Espagne avait subi une attaque au ransomware, les pirates ont pu subtiliser des données, sans que l'ampleur de la fuite soit connue.
Pour arriver à leurs fins, les pirates utilisent différents canaux.
Si dans le cas présent, ils utilisent les mails, dans d'autres situations, ils peuvent envoyer de faux SMS. Les fraudes au colis ("Votre colis a été livré") ou encore de faux messages en provenance par exemple d'Ameli, qui sont bien connues.
"Il peut s’agir d’un faux message, SMS ou appel téléphonique de banque, de réseau social, d’opérateur de téléphonie, de fournisseur d’énergie, de site de commerce en ligne, d'administrations, etc.
Le but recherché est de voler des informations personnelles ou professionnelles (comptes, mots de passe, données bancaires…) pour en faire un usage frauduleux," poursuit la DGCCRF.
Dans le cadre de la campagne de phishing concernant AgentConnect d'Air France, les pirates tentent d'obtenir les identifiants et les mots de passe des agents de voyages.
Ainsi, il leur sera possible de pouvoir se connecter sur la plateforme et de pouvoir émettre des billets.
Cela vous rappelle quelque chose de déjà lu ? C'est normal.
En novembre dernier, nous vous relations le piratage d'Accelya, le prestataire de IATA pour le BSP. L'entreprise basée en Espagne avait subi une attaque au ransomware, les pirates ont pu subtiliser des données, sans que l'ampleur de la fuite soit connue.
Le piratage du BSP en lien avec la vague de phishing ?
"'L'attaque a affecté la sauvegarde principale et celle séparée pour le nouveau BSPLink.
Des sources indépendantes, nous ont fourni une indication sans ambiguïté sur le fait clair que certaines données des systèmes BSP ont été divulguées dans le domaine public," pouvions-nous lire dans une lettre de Muhammad Ali Albakri, vice-président sénior de IATA.
Nous avions appris que des informations personnelles, comme le prénom, le nom de famille et les coordonnées de professionnels du tourisme avaient été volées.
Depuis, l'affaire n'a pas été classée, mais étouffée et les attaques se sont multipliées contre les acteurs de l'aérien.
Faut-il y voir un lien ? Sans doute.
Créer un faux mail et site internet, c'est une chose, par contre encore est-il nécessaire de savoir à qui les adresser, pour appâter les poissons et les hameçonner.
Les deux affaires sont peut-être liées. A partir des données subtilisées auprès d'Accelya, les faussaires ont pu inonder les boites mail de ce message malveillant.
Air France et AgentConnect n'ont pas été les seuls visés, puisque nous avons reçu aussi un courrier électronique de la part de... Sabre. Cette fois-ci le texte est en anglais, avec pour objet "WG: Update your Sabre Red".
Il reprend la même trame que celui envoyé de la part des équipes de la compagnie nationale.
Des sources indépendantes, nous ont fourni une indication sans ambiguïté sur le fait clair que certaines données des systèmes BSP ont été divulguées dans le domaine public," pouvions-nous lire dans une lettre de Muhammad Ali Albakri, vice-président sénior de IATA.
Nous avions appris que des informations personnelles, comme le prénom, le nom de famille et les coordonnées de professionnels du tourisme avaient été volées.
Depuis, l'affaire n'a pas été classée, mais étouffée et les attaques se sont multipliées contre les acteurs de l'aérien.
Faut-il y voir un lien ? Sans doute.
Créer un faux mail et site internet, c'est une chose, par contre encore est-il nécessaire de savoir à qui les adresser, pour appâter les poissons et les hameçonner.
Les deux affaires sont peut-être liées. A partir des données subtilisées auprès d'Accelya, les faussaires ont pu inonder les boites mail de ce message malveillant.
Air France et AgentConnect n'ont pas été les seuls visés, puisque nous avons reçu aussi un courrier électronique de la part de... Sabre. Cette fois-ci le texte est en anglais, avec pour objet "WG: Update your Sabre Red".
Il reprend la même trame que celui envoyé de la part des équipes de la compagnie nationale.
Phishing : comment ne pas se faire berner ?
"Afin de vous faire bénéficier des dernières évolutions et corrections, veuillez mettre à jour vos identifiants RED de toute urgence.
Cliquez ici pour mettre à jour votre compte.
Le non-respect de cette obligation entraînera la suspension de votre compte," pouvons nous lire dans le faux courrier.
Le message n'a pas dû interpeller beaucoup d'agents de voyages, mais dans la masse, il se peut que quelques-uns soient tombés dans le panneau. La stratégie même des pirates réside dans l'envoi de ligne à la manière de la pêche au gros.
Ils envoient le plus de mails possibles, afin d'appâter et ferrer le plus grand nombre de poisson.
Dans le cadre du phishing d'Air France et de,Sabre, à chaque fois, les agents sont invités à cliquer sur un lien, pour mettre à jour leur compte. Avant même de se rendre sur l'URL, quelques éléments doivent vous alerter.
Si l'intitulé de l'expéditeur est correct AgentConnect.biz, l'adresse est plutôt étrange czdr@s-afkl.biz.
Ensuite, le lien renvoyant vers le portail d'Air France est un autre point de vigilance : "httpswwwsecureafklbiz."
"Il n'y a pas de point après https, ni même afkl, c'est un premier signal d'alerte.
De plus, en cas de réception d’un email non sollicité, comme c’est le cas pour celui transmis, il est recommandé de prendre contact avec son account manager," nous explique un porte-parole d'Air France.
Ainsi, si vous ne sollicitez pas les équipes du transporteur, il n'y a aucune raison que celles-ci vous sollicitent, surtout sur un tel sujet.
Cliquez ici pour mettre à jour votre compte.
Le non-respect de cette obligation entraînera la suspension de votre compte," pouvons nous lire dans le faux courrier.
Le message n'a pas dû interpeller beaucoup d'agents de voyages, mais dans la masse, il se peut que quelques-uns soient tombés dans le panneau. La stratégie même des pirates réside dans l'envoi de ligne à la manière de la pêche au gros.
Ils envoient le plus de mails possibles, afin d'appâter et ferrer le plus grand nombre de poisson.
Dans le cadre du phishing d'Air France et de,Sabre, à chaque fois, les agents sont invités à cliquer sur un lien, pour mettre à jour leur compte. Avant même de se rendre sur l'URL, quelques éléments doivent vous alerter.
Si l'intitulé de l'expéditeur est correct AgentConnect.biz, l'adresse est plutôt étrange czdr@s-afkl.biz.
Ensuite, le lien renvoyant vers le portail d'Air France est un autre point de vigilance : "httpswwwsecureafklbiz."
"Il n'y a pas de point après https, ni même afkl, c'est un premier signal d'alerte.
De plus, en cas de réception d’un email non sollicité, comme c’est le cas pour celui transmis, il est recommandé de prendre contact avec son account manager," nous explique un porte-parole d'Air France.
Ainsi, si vous ne sollicitez pas les équipes du transporteur, il n'y a aucune raison que celles-ci vous sollicitent, surtout sur un tel sujet.
Faux sites Air France et Sabre : le jeu des 7 erreurs (ou presque)
Autres articles
-
Air France et KLM suspendent (temporairement) Zanzibar en 2025
-
eSIM : un service pour les clients et une source de revenu pour les agences ? [ABO]
-
Censure : les compagnies doivent rembourser la taxe de solidarité !
-
ITA Airways : un mariage qui fait les affaires... d'Air France et easyjet !
-
Billets émis et taxe Chirac : attention à pas franchir la ligne rouge ! [ABO]
Du côté du GDS, l'adresse mail de la campagne d'hameçonnage reprend la même terminaison que celle... d'Air France avec dcmv@s-afkl.biz.
"Il ne s'agit pas d'un email officiel de Sabre. Tous les emails officiels de Sabre proviennent de @sabre.com," nous explique un porte-parole de l'entreprise.
Les mails ne sont pas les seuls points de vigilance que vous devez observer.
Ainsi, en cliquant sur les liens figurant dans les courriers électroniques, la copie ressemblerait en tout point ou presque aux plateformes officielles. Concernant Air France, visuellement le site d'hameçonnage est la copie parfaite d'AgentConnect.
Sauf que les "conditions générales" et l'"aide technique" ouvrent des fenêtres où il est écrit que "ce contenu n'a pas pu être chargé,". Avant d'écrire ces lignes, des croix rouges apparaissaient dans ces encadrés.
Les développeurs du darkweb peaufineraient donc leurs oeuvres.
Ce n'est pas tout, puisque les pirates souhaitent avant tout que les agents se connectent pour récupérer leurs données, l'onglet "s'inscrire" devenu depuis cliquable renvoie vers la véritable plateforme Business Solutions d'Air France.
D'ailleurs à noter que depuis notre enquête de décembre sur NDC, "le service est toujours fermé pour les émissions. Il est uniquement ouvert à certains agents pour de l’après-vente.
De plus, AgentConnect ne s'appelle plus ainsi, mais Business Solutions," rappelle un porte-parole.
Par contre du côté de Sabre, si ce n'est l'URL, les faussaires ont rendu une copie presque parfaite. Excepté donc la mention securerc.ink, après "https" (comme pour le lien d'AgentConnect), tous les liens renvoient vers les véritables pages du GDS.
En résumé, pour ne pas se faire pirater, restez vigilant et demandez-vous toujours, pourquoi les fournisseurs vous contactent !
"Il ne s'agit pas d'un email officiel de Sabre. Tous les emails officiels de Sabre proviennent de @sabre.com," nous explique un porte-parole de l'entreprise.
Les mails ne sont pas les seuls points de vigilance que vous devez observer.
Ainsi, en cliquant sur les liens figurant dans les courriers électroniques, la copie ressemblerait en tout point ou presque aux plateformes officielles. Concernant Air France, visuellement le site d'hameçonnage est la copie parfaite d'AgentConnect.
Sauf que les "conditions générales" et l'"aide technique" ouvrent des fenêtres où il est écrit que "ce contenu n'a pas pu être chargé,". Avant d'écrire ces lignes, des croix rouges apparaissaient dans ces encadrés.
Les développeurs du darkweb peaufineraient donc leurs oeuvres.
Ce n'est pas tout, puisque les pirates souhaitent avant tout que les agents se connectent pour récupérer leurs données, l'onglet "s'inscrire" devenu depuis cliquable renvoie vers la véritable plateforme Business Solutions d'Air France.
D'ailleurs à noter que depuis notre enquête de décembre sur NDC, "le service est toujours fermé pour les émissions. Il est uniquement ouvert à certains agents pour de l’après-vente.
De plus, AgentConnect ne s'appelle plus ainsi, mais Business Solutions," rappelle un porte-parole.
Par contre du côté de Sabre, si ce n'est l'URL, les faussaires ont rendu une copie presque parfaite. Excepté donc la mention securerc.ink, après "https" (comme pour le lien d'AgentConnect), tous les liens renvoient vers les véritables pages du GDS.
En résumé, pour ne pas se faire pirater, restez vigilant et demandez-vous toujours, pourquoi les fournisseurs vous contactent !