Pazite preko koga rezervišete smeštaj: Na najpoznatijim sajtovima pojavili se hakeri, sa kartica skidaju dupli iznos
Istraživači bezbednosne kompanije Sekoia otkrili su široko rasprostranjenu fišing kampanju koja koristi kompromitovane hotelske naloge kako bi napadala korisnike koji su rezervisali smeštaj preko Booking.com, Airbnb-a i drugih popularnih turističkih platformi.
Ova kampanja, aktivna najmanje od aprila 2025. godine, pokazuje koliko je turistička industrija ranjiva na sajber prevare i zloupotrebe poverenja između hotela i gostiju.
Kompromitovani hotelski nalozi
Napadači su slali mejlove sa stvarnih hotelskih adresa koje su prethodno hakovali, ili su se predstavljali kao Booking.com u imejlovima i WhatsApp porukama.
Svaka poruka vodila je korisnike kroz niz preusmeravanja, sve do tzv. ClickFix fišing napada, tokom kojeg su žrtve navodili da pokrenu PowerShell komandu kojom se preuzima malver PureRAT.
Ovaj trojanac omogućava napadačima daljinsku kontrolu nad računarom, pristup lozinkama, snimanje ekrana i krađu osetljivih podataka.
Hoteli prve mete
Prema navodima istraživača, prvobitne mete bili su zaposleni u hotelima. Kada bi inficirali njihove uređaje, napadači bi ukrali pristupne podatke za Booking.com, Airbnb, Expedia i druge platforme.
Ti ukradeni nalozi kasnije su se prodavali na hakerskim forumima, ili su korišćeni za dalje prevare. Nakon što bi preuzeli kontrolu nad hotelskim nalozima, prevaranti su kontaktirali goste hotela putem mejla ili WhatsAppa, najčešće uz izgovor da postoji „problem sa verifikacijom banke“.
Poruke su sadržale prave podatke o rezervacijama, što je davalo dodatni kredibilitet napadačima. Korisnici su zatim preusmeravani na lažne Booking.com stranice napravljene za krađu podataka o plaćanju. Ovi lažni sajtovi bili su hostovani iza Cloudflare zaštite, a njihova infrastruktura je povezana sa ruskim serverima.
Trgovina nalozima na ruskim forumima
Analitičari Sekoie su otkrili aktivnu prodaju Booking.com pristupnih podataka na ruskim hakerskim forumima.
Cena za pristup hotelima ili korisničkim nalozima kretala se od 5 do čak 5.000 dolara, u zavisnosti od vrednosti naloga. Jedan korisnik koji se predstavljao kao moderator_booking tvrdio je da je na ovaj način zaradio više od 20 miliona dolara.
Napadi su se u međuvremenu proširili i na Agoda naloge, a u pojedinim slučajevima su gosti duplo platili rezervaciju, jednom hotelu, a drugi put prevarantima.
Ogromna infrastruktura
- Otkrivena infrastruktura pokazuje da je u pitanju stotine aktivnih domena i dugoročno profitabilna kampanja - saopštili su istraživači iz Sekoie.
Ova prevara još jednom pokazuje koliko je turistički sektor ranjiv kada se kompromituje poverenje između gostiju i hotela, ali i koliko brzo cyber kriminalci iskorišćavaju svaku slabost u digitalnim sistemima rezervacija.
Biznis Kurir/Kamatica
