Istraživači iz kompanije Sekoia.io otkrili su masovnu fišing kampanju koja koristi kompromitovane hotelske naloge za napade na ljude koji su rezervisali smještaj preko Booking.com, Airbnb i drugih platformi.
Kampanja, aktivna najmanje od aprila 2025. godine, pokazuje koliko je turistička industrija ranjiva na digitalne prevare.
Napadači su slali imejlove sa kompromitovanih hotelskih naloga, ili se predstavljali kao Booking.com u mejlovima i WhatsApp porukama. Svaka poruka vodila je žrtve kroz niz preusmjeravanja sve do tzv. ClickFix fišing napada kada bi korisnik bio naveden da pokrene PowerShell komandu koja preuzima malver PureRAT.
Ovaj trojanac omogućava napadačima daljinsku kontrolu računara, krađu kredencijala, slanje snimaka ekrana i preuzimanje osetljivih podataka.
Analitičari vjeruju da su prvobitno mete napada bili zaposleni u hotelima. Malver bi im ukrao kredencijale za prijavu na platforme poput Booking.com, Airbnb i Expedia. Ovi podaci su se zatim ili prodavali na hakerski forumima ili su korišćeni u prevarama.
Kada bi preuzeli kontrolu nad hotelskim nalozima, napadači su kontaktirali goste hotela putem imejla ili WhatsApp-a, obično pod izgovorom da postoji “problem sa verifikacijom banke”.
Poruke su sadržale stvarne podatke o rezervacijama, što je napadačima davalo kredibilitet. Žrtve su zatim preusmjeravane na lažne Booking.com stranice dizajnirane za prikupljanje informacija o plaćanju. Ovi sajtovi hostovani iza Cloudflare zaštite, povezani su sa ruskom infrastrukturom.
Analitičari Sekoie su primijetili aktivnu trgovinu Booking.com kredencijalima na ruskim hakerkim forumima.
Podaci za pristup (autentifikacioni kolačići ili kombinacije korisničkih imena i lozinki) prodavali su se po cijeni od 5 do 5.000 dolara, u zavisnosti od vrijednosti naloga.
Neko ko se krije iza pseudonima moderator_booking, tvrdio je da je zaradio više od 20 miliona dolara.
Napadači su u međuvremenu proširili kampanju i na Agoda naloge.
Prema riječima istraživača, u najmanje jednom slučaju gost je platio rezervaciju dva puta - jednom hotelu, a drugi put prevarantima.
“Otkrivena infrastruktura svjedoči o stotinama aktivnih domena i dugoročno profitabilnoj kampanji”, navela je Sekoia.