Toujours la même façon de procéder. Les personnes ont reçu, via WhatsApp, courriel ou SMS, des messages contenant des données précises, indiquant qu’une facture liée à une réservation devait encore être payée, sous peine d’annulation. Dans tous les cas, les personnes étaient également mises sous pression en raison d’un délai limité.
Sont concernées des réservations d’hôtels dans toute l’Europe. Des utilisateurs nous ont signalé des cas en Belgique, aux Pays-Bas, en Italie ou encore avec des hôtels luxembourgeois.
Suite à une demande adressée à la Commission nationale pour la protection des données (CNPD), il nous a été confirmé que des cas ont été portés à sa connaissance. La CNPD estime pour l'instant que cette tentative d'arnaque serait due à une violation de données ("data breach") chez booking.com.
Mais dans plusieurs cas, les réservations n’avaient pas été effectuées via ce site, mais directement auprès des établissements eux-mêmes. À ce sujet, la CNPD a indiqué par écrit :
"Il n’est pas exclu que certains hôtels puissent également être touchés de manière distincte. Sur la base des faits disponibles à ce stade, le plus plausible est cependant que la majorité des cas puissent être attribués à cette violation ou à une autre violation sur une plateforme internationale."
Dans un cas, un utilisateur nous a décrit par mail comment une personne avait cliqué sur le lien dans le message WhatsApp et avait ensuite reçu, en plus de messages relatifs à ses données bancaires, des messages concernant le token LuxTrust. Des demandes auraient été faites pour valider des montants parfois élevés sur sa carte de crédit.
Un propriétaire d'un B&B en Belgique nous a également écrit par mail que l’un de ses clients avait bien payé ses vacances, mais qu’il avait été escroqué par des individus malhonnêtes.
"So far one future guest has paid his stay at our place to the criminals."
Suite à une demande adressée à la Commission nationale pour la protection des données, il nous a été indiqué que les résidents qui pensent que leurs données ont été volées, doivent d’abord contacter les entreprises concernées afin d’obtenir les informations nécessaires. En cas de réponse non satisfaisante, ils peuvent introduire une réclamation auprès de la CNPD.
En cas de violation de données chez booking.com, l’autorité néerlandaise de protection des données serait compétente pour la gestion du dossier, étant donné que Booking a son siège principal aux Pays-Bas.
Dans un mail, une utilisatrice a également écrit que son père avait désormais tellement peur qu’il ne faisait pratiquement plus rien, car il voyait des arnaques partout :
"Je trouve cela très grave, car mon père est un homme qui a toujours essayé de s’adapter à son époque. Et à cause de ce genre d’escroqueries, il est poussé dans une situation où il n’a pas sa place !"
Nous reviendrons dans les jours à venir sur ce sujet dans un prochain reportage.
Si vous souhaitez contacter la rédaction de manière confidentielle concernant ce dossier ou d’autres, envoyez un mail à dossier@rtl.lu.
