1. Cloudbeds
  2. Centre de Configuration
  3. Connexion & Sécurité
  4. Recommandations de sécurité

Avis de sécurité : Campagne de phishing ciblant les fournisseurs de l'hôtellerie

Gabriela Garcia
Mise à jour

Aperçu

Cloudbeds suit actuellement une campagne de phishing en cours qui touche les entreprises du secteur de l’hôtellerie. Bien que ces attaques aient été signalées chez plusieurs fournisseurs de technologies hôtelières, certains clients Cloudbeds pourraient être ciblés.

Nous fournissons ces informations pour que vous ayez une visibilité complète et puissiez prendre immédiatement des mesures de précaution, notamment en formant votre personnel aux signaux d’alerte spécifiques. L’équipe de sécurité Cloudbeds surveille activement cette menace et y répond pour protéger notre plateforme, nos clients et leurs clients.

Cet article comprend :

  • Réponses aux questions fréquentes concernant la campagne et son impact.
  • Une annexe des indicateurs de compromission (IOC) destinée aux équipes techniques ou de sécurité pour aider à identifier et bloquer les activités malveillantes sur votre réseau.

✉️ Besoin d’aide ? Si vous rencontrez une activité non couverte par ce guide ou avez des inquiétudes concernant un message spécifique, veuillez contacter support@cloudbeds.com.

Signaler des e-mails de phishing

  Si vous recevez un e-mail suspect se faisant passer pour Cloudbeds, veuillez le transférer à support@cloudbeds.com avec pour objet "Phishing". Cela permet à notre équipe de sécurité d’examiner le message et de faire supprimer les domaines malveillants.

FAQ

Que se passe-t-il et pourquoi est-ce important ?

Nous avons observé des attaquants créant de fausses pages de connexion qui imitent de très près le portail de connexion légitime de Cloudbeds. Ces pages frauduleuses sont promues via Google Ads et d’autres canaux pour tromper le personnel hôtelier et leur faire saisir leurs identifiants. Une fois qu’un utilisateur entre son mot de passe et son code d’authentification à plusieurs facteurs sur une fausse page, les attaquants utilisent les identifiants capturés pour :

  1. Se connecter au compte Cloudbeds avec les identifiants volés
  2. Accéder et exporter les données de réservation, y compris les noms des clients, leurs coordonnées et les informations de réservation
  3. Envoyer des messages de phishing aux clients en utilisant la messagerie Cloudbeds Guest Experience ou des outils e-mail standards, rendant les messages légitimes en apparence
  4. Contacter directement les clients via WhatsApp ou e-mail avec des demandes de paiement frauduleuses, créant souvent un sentiment d’urgence autour de paiements de réservations « en attente » ou « confirmés » et dirigeant les clients vers des liens malveillants conçus pour voler leurs informations de paiement.

Quels sont les URL impliqués dans la campagne de phishing ?

Les URL malveillants utilisés dans cette campagne peuvent varier et changer fréquemment. Les fausses pages de connexion sont conçues pour ressembler presque à l’identique à la page de connexion légitime de Cloudbeds, l’URL étant souvent la seule différence visible.

Notre partenaire en protection de marque surveille en permanence ces domaines et travaille à leur suppression dès qu’ils sont identifiés. Pour les clients disposant d’équipes techniques, une liste des URL malveillantes connues est incluse en annexe, bien que de nouvelles URL puissent apparaître avec le temps.

Par précaution, nous vous recommandons de mettre en favori la page officielle de connexion Cloudbeds (signin.cloudbeds.com) et d’encourager votre personnel à toujours accéder à Cloudbeds via ce lien enregistré, plutôt que par des publicités, des résultats de recherche ou des liens dans des e-mails ou messages.

L’authentification multifacteur (MFA) était-elle activée sur les comptes compromis ?

Oui. Tous les comptes compromis examinés jusqu’à présent utilisaient une MFA basée sur un authentificateur (codes à usage unique basés sur le temps). Cependant, les codes d’authentificateur ne sont pas à l’abri du phishing. Les attaquants les interceptent en temps réel lorsque les utilisateurs les saisissent sur la fausse page de connexion, puis les rejouent immédiatement pour accéder au compte légitime.

Pour protéger vos utilisateurs, nous recommandons vivement de passer à des méthodes MFA résistantes au phishing :

  1. Clés d’accès / Clés de sécurité — Authentification matérielle ou basée sur un appareil qui ne peut pas être phishée.
  2. Okta Verify avec notifications push — Vérification liée à l’appareil offrant une protection renforcée contre l’interception en temps réel des identifiants.

Comment Cloudbeds détecte-t-il et réagit-il aux activités malveillantes ?

Protéger votre entreprise et vos clients est une priorité partagée, et notre équipe Sécurité surveille activement et répond à cette menace. Nous utilisons plusieurs couches de détection et de protection conçues pour identifier rapidement les activités suspectes et limiter leur impact potentiel :

  1. Analyse des risques de connexion incluant la détection d’anomalies géographiques, les contrôles de vitesse de déplacement, l’identification de nouveaux appareils et le scoring de réputation IP pour identifier et bloquer les tentatives d’authentification suspectes
  2. Surveillance comportementale qui termine automatiquement les sessions présentant des schémas compatibles avec un abus de compte
  3. Détection intégrée de fraude qui bloque les e-mails et messages contenant des URL suspectes
  4. Contrôles de domaine incluant des listes noires globales pour les domaines malveillants connus et des listes d’autorisation par compte afin que vous puissiez contrôler les domaines autorisés dans les communications avec les clients
  5. Protection continue de la marque pour identifier et faire retirer les pages de connexion frauduleuses et les domaines usurpateurs

Nous collaborons également avec les autorités et les prestataires concernés pour perturber ce groupe de menace.

D’autres clients Cloudbeds ont-ils été ciblés ?

Oui. Il s’agit d’une campagne d’attaque coordonnée plus large visant le secteur de l’hôtellerie à l’échelle mondiale. Les clients utilisant une MFA basée sur un authentificateur (codes à usage unique) sont les plus vulnérables.

Quelles actions à court terme pouvons-nous prendre pour réduire les risques ?

Nous recommandons vivement les actions suivantes :

  1. Adoptez une MFA résistante au phishing — Passez les utilisateurs aux clés d’accès ou à Okta Verify. Les applications d’authentification utilisant des codes temporels sont vulnérables au phishing en temps réel.
  2. Ajoutez en favori l’URL correcte de connexion — Utilisez toujours https://signin.cloudbeds.com et évitez d’utiliser les moteurs de recherche pour accéder à la page de connexion. Les attaquants utilisent des annonces payantes pour placer des liens frauduleux au-dessus des résultats légitimes.
  3. Auditez les comptes utilisateursSupprimez les comptes utilisateurs inutiles et réduisez les privilèges, notamment l’exportation et l’accès aux DCP, uniquement aux personnes qui en ont besoin.
  4. Vérifiez les autorisations d’exportation — Dans les paramètres des rôles utilisateurs, supprimez l’accès à « Réservation - exporter la liste des réservations » et à l’extraction de DCP pour tout rôle qui n’en a pas besoin.
  5. Configurez votre liste d’autorisation de domainesContactez l’Assistance Cloudbeds pour configurer votre liste d’autorisation de domaines Guest Experience afin de limiter les URL pouvant être incluses dans les communications aux clients depuis votre compte.
  6. Formez votre personnel — Assurez-vous que tous les utilisateurs vérifient qu’ils sont bien sur https://signin.cloudbeds.com avant de saisir leurs identifiants, et qu’ils ne se connectent jamais via des liens reçus par e-mail ou via des annonces sur les moteurs de recherche.

  Contactez l’Assistance Cloudbeds si vous avez besoin d’aide pour mettre en place ces mesures.

Y a-t-il d’autres attaques dont je devrais me méfier ?

Certains clients ont signalé avoir reçu des e-mails suspects ou malveillants provenant d’expéditeurs inconnus tentant de se faire passer pour Cloudbeds ou d’autres plateformes hôtelières. Si vous remarquez une activité inhabituelle dans votre compte Cloudbeds, nous vous recommandons également de vérifier votre boîte de réception pour des messages inattendus ou suspects.

Si vous recevez des e-mails de phishing, transférez-les à support@cloudbeds.com avec pour objet « Phishing » afin que notre équipe puisse examiner et faire supprimer les domaines malveillants.

Les clients peuvent également recevoir des messages frauduleux via WhatsApp ou d'autres canaux de la part d'escrocs se faisant passer pour votre établissement. Pensez à informer proactivement vos clients que votre établissement ne demandera jamais de vérification de paiement, de détails de carte ou de paiements urgents via WhatsApp ou des liens externes.

Si vous constatez quoi que ce soit d’inquiétant, signalez-le immédiatement à l’Assistance Cloudbeds (support@cloudbeds.com).

Annexe : Indicateurs de compromission (IOC)

(Facultatif — pour les clients disposant d’équipes techniques ou de sécurité)

Utilisez ces indicateurs pour bloquer ou surveiller les activités suspectes lorsque cela est possible. Signalez toute découverte pertinente à l’Assistance Cloudbeds.

Adresses e-mail de phishing connues

Les adresses e-mail suivantes ont été identifiées comme sources d’e-mails de phishing ciblant les clients Cloudbeds et leurs clients :

  1. contato@10138743.brevosend.com
  2. support@kokazia.freshdesk.com
  3. amatolucia@outlook.com

URLs de phishing / Domaines malveillants

Domaines malveillants connus utilisés dans des campagnes de phishing ciblant les clients Cloudbeds. De nouvelles URLs apparaissent fréquemment ; cette liste est à jour au 5 février 2026 :

  1. kokazia[.]freshdesk[.]com
  2. 10138743[.]brevosend[.]com
  3. terralsuites[.]com[.]ar

Adresses IP malveillantes connues

Les adresses IP suivantes ont été confirmées comme infrastructures d’attaquants utilisées dans des incidents de compromission de compte :

  1. 92.243.64.222
  2. 51.195.242.229

Indicateurs d’arnaques sur WhatsApp

Les clients peuvent recevoir des messages WhatsApp de numéros inconnus se faisant passer pour votre établissement et demandant un paiement urgent. Les caractéristiques courantes incluent :

  1. Des demandes de « confirmation de votre réservation » via un lien de paiement externe
  2. Une pression pour agir immédiatement sous peine d’annulation
  3. Des liens vers des domaines qui n’appartiennent ni à votre établissement ni à Cloudbeds

Domaines frauduleux connus utilisés dans les arnaques aux clients

Les domaines suivants ont été utilisés dans des communications frauduleuses ciblant les clients :

  1. hxxp://cloudbeds-property-manager-signon.bolt.host
  2. hxxp://cloudbeds-online.com
  3. hxxp://ddk.joinposter.com
  4. hxxp://cloudbeds-property-manager-signon.bolt.host
  5. hxxp://corona-doner.joinposter.com
  6. hxxp://signin.clauldbeds.com
  7. hxxp://cloud-beds.app/
  8. hxxp://cloudbeds-app.com/

Si tu as d’autres inquiétudes ou remarques suspectes, contacte immédiatement l’Assistance Cloudbeds.

Transfère tout e-mail de phishing à support@cloudbeds.com avec pour objet « Phishing » afin que nous puissions agir.

Reste en sécurité,
L’équipe de sécurité Cloudbeds
 

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 42 sur 42

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.