Истраживачи безбедносне компаније Секоиа открили су широко распрострањену фишинг кампању која користи компромитоване хотелске налоге како би нападала кориснике који су резервисали смештај преко Букинга, Аирбнб-а и других популарних туристичких платформи.
Ова кампања, активна најмање од априла 2025. године, показује колико је туристичка индустрија рањива на сајбер преваре и злоупотребе поверења између хотела и гостију.
Нападачи су слали мејлове са стварних хотелских адреса које су претходно хаковали, или су се представљали као Букинг у имејловима и Вацап порукама.
Свака порука водила је кориснике кроз низ преусмеравања, све до тзв. КликФикс фишинг напада, током којег су жртве наводили да покрену PowerShell команду којом се преузима малвер PureRAT.
Овај тројанац омогућава нападачима даљинску контролу над рачунаром, приступ лозинкама, снимање екрана и крађу осетљивих података.
Према наводима истраживача, првобитне мете били су запослени у хотелима. Када би инфицирали њихове уређаје, нападачи би украли приступне податке за Booking.com, Airbnb, Expedia и друге платформе.
Ти украдени налози касније су се продавали на хакерским форумима, или су коришћени за даље преваре. Након што би преузели контролу над хотелским налозима, преваранти су контактирали госте хотела путем мејла или Вацапа, најчешће уз изговор да постоји „проблем са верификацијом банке“.
Поруке су садржале праве податке о резервацијама, што је давало додатни кредибилитет нападачима. Корисници су затим преусмеравани на лажне Боокинг.цом странице направљене за крађу података о плаћању. Ови лажни сајтови били су хостовани иза Цлоудфларе заштите, а њихова инфраструктура је повезана са руским серверима.
Аналитичари Секоие су открили активну продају Букинга приступних података на руским хакерским форумима.
Цена за приступ хотелима или корисничким налозима кретала се од 5 до чак 5.000 долара, у зависности од вредности налога. Један корисник који се представљао као модератор_боокинг тврдио је да је на овај начин зарадио више од 20 милиона долара.
Напади су се у међувремену проширили и на Агода налоге, а у појединим случајевима су гости дупло платили резервацију, једном хотелу, а други пут преварантима.
– Откривена инфраструктура показује да је у питању стотине активних домена и дугорочно профитабилна кампања – саопштили су истраживачи из Секоие.
Ова превара још једном показује колико је туристички сектор рањив када се компромитује поверење између гостију и хотела, али и колико брзо цyбер криминалци искоришћавају сваку слабост у дигиталним системима резервација.
kamatica.com/novosadska.tv
Foto: unsplash.com
