СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
25 декабря
#ИБ

Фишинговая кампания через Booking.com: атака на цепочку поставок отелей

Кратко: С мая 2025 года выявлена масштабная кампания, в которой злоумышленники использовали скомпрометированные учетные записи персонала отелей и официальные каналы связи Booking.com для распространения фишинговых сообщений. В операции были задействованы почти 1000 мошеннических бронирований и доменов — пользователям отправлялись срочные уведомления «проверить или отменить», ведущие на внешние фишинг‑сайты, где динамически подгружались реальные данные бронирования жертвы и похищалась платежная информация.

Как работала атака

  • Первичный этап — взлом учетных записей персонала отелей для получения доступа к платформе бронирования.
  • Создание примерно 1000 мошеннических бронирований и доменов, имитирующих страницы подтверждения и оплаты.
  • Рассылка срочных уведомлений, помеченных как «проверить или отменить», через официальные каналы Booking.com, что позволяло обойти многие фильтры и вызвать доверие у получателей.
  • Переход по ссылке переводил пользователя на фишинг‑сайт, который динамически подгружал фактические детали бронирования жертвы, побуждая ввести конфиденциальные платежные данные.

«Операция эффективно использует доверие между отелем, платформой бронирования и клиентом, что значительно повышает шансы успешного фишинга», — отмечают эксперты.

Технические детали

  • Атака опирается на веб‑наборы Scraper/Interceptor, часто применяемые против клиентов Booking.com и пользователей Airbnb.
  • Компоненты этих наборов соотносятся с инструментарием Telekopye, известным практикой «фишинг как услуга» в российской киберпреступной экосистеме.
  • Вредоносная инфраструктура отслеживается по IP‑адресам, расположенным в Москве; на серверах запущены службы в системах Debian Linux, включая ProFTPD, Exim, ISC Bind, F5 Nginx и Dovecot.
  • Украденные учетные данные, по сообщениям, продаются на русскоязычных форумах — цена ниже $5,000 за запись, что указывает на активный черный рынок.

Связь с предыдущими кампаниями

Операция коррелирует с ранее зафиксированными фишинговыми кампаниями, такими как «Я заплатил дважды», что указывает на возможную связь между группами, нацеленными на учетные записи отелей, и теми, кто проводил массовые фишинг‑атаки.

Последствия

  • Финансовые потери клиентов и отелей из‑за похищенных платежных данных.
  • Утечки конфиденциальной информации гостей и операционных данных отелей.
  • Подрыв доверия к каналам коммуникации платформ бронирования и к самим отелям.

Рекомендации для бизнеса и пользователей

Отелям и платформам бронирования:

  • Внедрить многофакторную аутентификацию (MFA) для учетных записей персонала и административных панелей.
  • Ограничить привилегии учетных записей согласно принципу наименьших прав и регулярно пересматривать доступ.
  • Мониторить необычную активность входов и массовые изменения в бронированиях; настроить оповещения о подозрительных транзакциях.
  • Проверять и блокировать подозрительные домены и IP‑адреса; работать с CERT и провайдерами хостинга для быстрой ликвидации инфраструктуры злоумышленников.
  • Реализовать защищенные каналы уведомлений и механизмы out‑of‑band проверки для критичных запросов на оплату или изменение бронирования.

Пользователям:

  • Не переходить по ссылкам из срочных писем — проверять статус бронирования напрямую в приложении или на сайте Booking.com, введя адрес вручную.
  • Проверять адрес отправителя и домен ссылок; при малейшем сомнении связываться с отелем или платформой по официальным каналам.
  • Использовать кредитные карты с защитой от мошенничества и наблюдать за выписками.

Вывод

Эта кампания демонстрирует, как злоумышленники способны использовать доверительные отношения внутри цепочки поставок гостиничного сектора, чтобы обойти традиционные средства защиты и реализовать масштабные фишинг‑операции. Комплексный подход к безопасности — от усиленной защиты учетных записей персонала до обучения клиентов — критически важен для уменьшения риска подобных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: