Le PDG de CoinGecko, Bobby Ong, a lancé un avertissement urgent au sujet d'une campagne de courriels frauduleux sophistiqués usurpant l'identité de Booking.com pour promouvoir un "Sommet exclusif sur les voyages en crypto-monnaie" inexistant à Dubaï.
L'incident, rendu public par Ong sur les médias sociaux le 27 octobre 2025, fait partie d'un schéma croissant d'escroqueries ciblant les utilisateurs de crypto-monnaies.
Les détails du courriel d'hameçonnage
Le faux courriel annonçait un "Sommet exclusif sur les voyages en crypto-monnaie" prévu pour novembre 2025 à Dubai. Il prétendait à tort que Booking.com et Coinbase avaient conclu un partenariat stratégique pour lancer de nouveaux services de voyage basés sur les crypto-monnaies.
NOTICE IMPORTANTE (PSA) : Une nouvelle tentative de phishing est en cours et utilise les systèmes de Booking.com pour envoyer de fausses invitations à des conférences. Si vous recevez de tels courriels, la meilleure chose à faire est de les supprimer. @Booking.com, prenez note et adressez-vous à votre équipe de sécurité pour empêcher ces individus d'abuser de vos systèmes.
Pour donner de la crédibilité à la fraude, l'invitation mentionnait des noms éminents de la communauté cryptographique, notamment le cofondateur d'Ethereum, Vitalik Buterin, et le PDG de Coinbase, Brian Armstrong, en tant que conférenciers d'honneur.
Un détail crucial qui a révélé sa nature trompeuse était la date limite de confirmation (RSVP) fixée au 30 septembre 2025, une date qui était déjà passée au moment de la publication. M. Ong a exhorté les destinataires à supprimer ces messages immédiatement et a demandé à Booking.com de mobiliser son équipe de sécurité.
Réponse de Booking.com et conseils de sécurité
Booking.com a rapidement réagi via son compte officiel, confirmant la fraude et annonçant l'ouverture d'une enquête.
La société a souligné qu'elle ne communiquait pas et ne proposait pas d'assistance à la clientèle ou de recrutement via des applications de messagerie telles que Telegram ou WhatsApp.
La société a vivement conseillé aux utilisateurs de ne pas fournir d'informations personnelles, d'effectuer des paiements ou de cliquer sur des liens figurant dans des messages suspects. Elle a également suggéré de signaler de tels incidents aux autorités locales et de ne contacter le service clientèle officiel que pour des questions légitimes, en fournissant des codes de confirmation et des détails de réservation.
Cette tentative d'usurpation d'identité fait partie d'un modèle plus large de fraude dans l'industrie. En septembre 2025, même Binance avait émis des alertes concernant de faux agents de listing et des escroqueries téléphoniques dans lesquelles des imposteurs se faisaient passer pour des opérateurs de support, guidant les utilisateurs pour modifier les paramètres de l'API afin de faciliter le vol de fonds.
Ong a réitéré que, compte tenu de la nature conflictuelle du secteur crypto, les utilisateurs devraient vérifier soigneusement toutes les communications, en vérifiant les domaines de l'expéditeur et en évitant les liens non sollicités. Les experts en sécurité recommandent de toujours contacter les plateformes directement par les canaux officiels en cas de demandes inhabituelles.
