Кража вместо отпуска: мошенники превратили Booking.com в фишинговую ловушку

Кибермошенники нашли новый способ заработать на туристах, используя популярный сервис бронирования Booking.com. Недавно в Калифорнии хакеры взломали аккаунт одного из отелей, что позволило им запустить фишинговую атаку. Жертвой стал клиент, который только что забронировал номер и получил сообщение через приложение Booking.com с просьбой подтвердить свои данные якобы для завершения бронирования. Сообщение выглядело убедительно, так как содержало имя отеля и информацию о его бронировании.

Фишинговое сообщение ( KrebsOnSecurity )

Компания Booking.com подтвердила инцидент, уточнив, что злоумышленники получили доступ к данным из-за взлома системы одного из партнёров. В самой системе Booking.com утечек не было. После инцидента Booking.com усилил меры безопасности и ввел обязательную двухфакторную аутентификацию (2FA) для всех партнеров. Теперь для доступа к деталям оплаты требуется ввод одноразового кода из мобильного приложения аутентификации. Тем не менее, преступники находят способы обойти защиту, заражая компьютеры партнеров вредоносным ПО для получения доступа к учетным записям и рассылки фишинговых сообщений клиентам.

Фишинговый сайт, открывающийся при переходе по ссылке в текстовом сообщении ( KrebsOnSecurity )

Анализ социальных сетей показал, что подобные схемы распространены не только среди отелей, но и на других популярных платформах. В 2023 году фирма SecureWorks зафиксировала рост атак с использованием вредоносного ПО, направленных на кражу данных от партнеров Booking.com. По данным SecureWorks, атаки начались в марте 2023 года, когда один из отелей не включил многофакторную аутентификацию, что упростило киберпреступникам доступ к учетной записи.

В июне 2024 года сервис Booking.com сообщил о росте фишинговых атак на 900%, что связывается с использованием искусственного интеллекта для создания более эффективных схем обмана. В ответ компания внедрила собственные ИИ-решения, которые заблокировали 85 миллионов мошеннических бронирований и предотвратили более 1,5 миллиона попыток фишинга за 2023 год.

Дополнительное расследование показало, что домен фальшивого сайта, отправленного клиенту — guestssecureverification[.]com — зарегистрирован на электронный адрес, который использовался для создания более 700 фишинговых доменов, нацеленных на гостиничные сервисы и другие популярные платформы, такие как Shopify и Steam.

Спрос на взломанные аккаунты Booking.com остается высоким среди киберпреступников. На форумах хакеров активно предлагаются украденные данные, а также услуги по монетизации взломанных учетных записей. Некоторые злоумышленники даже создают «собственные туристические агентства», предоставляя мошенникам скидки на бронирование отелей.

SecureWorks выявил, что фишеры используют вредоносное ПО для кражи учетных данных, однако сегодня преступникам достаточно приобрести украденные учетные данные на черном рынке, особенно если сервисы не требуют 2FA. Это подтверждает случай с облачной платформой Snowflake, где уязвимые учетные записи использовались для похищения данных более чем 160 компаний.