Phishing Booking.com « paiement hôtel à confirmer » avant arrivée

Qu'est-ce qui se passe

Si tu reçois un message Booking.com de la part de l'hôtel que tu as vraiment réservé, avec les vraies dates et le vrai numéro de réservation, qui te demande de re-confirmer le paiement parce qu'« il y a eu un problème » — c'est très probablement une arnaque. Et c'est ce qui se passe en France depuis le 6 mai 2026.

Cette campagne se distingue parce qu'elle exploite la chaîne de confiance Booking elle-même : les messages partent depuis la messagerie officielle Booking (donc dans ton app, dans tes notifications, avec ton vrai numéro de résa), ce qui rend la détection beaucoup plus difficile que pour un phishing email externe.

Comment ça marche

L'attaque relève du compromise-platform — un mécanisme rare et puissant :

1. Compromission préalable d'un compte d'hôtelier sur Booking — typiquement via un phishing visant l'employé de la réception (« vérifier votre compte gestionnaire »)
2. Les attaquants se connectent à l'extranet Booking de l'hôtel et ont accès à la liste des résas en cours et à la messagerie clients intégrée
3. Ils envoient à chaque client un message via cette messagerie : « problème de paiement », « confirmation requise sous 24 h », avec un lien vers booking-secure-pay.com (ou variante)
4. La fausse page reproduit l'interface Booking et collecte la CB pour un « re-paiement de sécurité »
5. La victime paye deux fois — une fois la vraie résa, une fois l'arnaque

Le compte mule est typiquement européen e-money. Les fonds basculent en moins de 24 h.

Comment reconnaître

Aucune réservation Booking légitime ne demande de re-payer via un lien externe à la plateforme. Si le paiement initial a été validé sur Booking.com, c'est terminé — l'hôtel n'aura jamais à te recontacter pour ça.

• Le lien qui sort de booking.com est le signal d'alerte critique
• L'hôtel ne te demande jamais ta CB via la messagerie Booking — Booking gère le paiement, pas l'hôtelier
• Pour vérifier : login direct sur booking.com via ton navigateur, regarde ta résa, vérifie qu'il n'y a aucune action en attente

Que faire si concerné

1. Ne clique pas sur le lien externe, même si le message vient « vraiment » de l'hôtel
2. Connecte-toi sur booking.com (en tapant l'URL directement) pour vérifier ta résa
3. Appelle l'hôtel via son numéro de téléphone public (Google Maps, site officiel de l'hôtel) — surtout pas via les coordonnées dans le mail. Ils confirmeront qu'aucun re-paiement n'est demandé, et tu les alerteras potentiellement que leur compte Booking est compromis
4. Si la CB a déjà été saisie : opposition à la banque immédiate, et signalement à Booking via leur centre d'aide officiel

Mécanisme proche en logique de la vague Boursorama vishing qui exploite aussi des informations préalables précises pour rendre l'attaque crédible — la chaîne de confiance « numéro de résa correct » joue le même rôle que « solde de compte correct » côté vishing bancaire.

Sources

Sources

• Cybermalveillance.gouv.fr
• Booking.com — Centre de sécurité
• Signal-Spam