Booking.comを悪用した新たなフィッシング詐欺が旅行者を狙う
サイバーセキュリティ研究者たちは、侵害されたホテル予約アカウントを悪用し、世界中の旅行者を欺く巧妙なフィッシングキャンペーンを発見しました。少なくとも2025年4月から活動しているこのキャンペーンは、ホテル管理者から盗んだ認証情報を利用して、正規のBooking.comからの通信を装い、疑うことを知らない顧客を不正な請求ページに誘導しています。
ホテル管理者への初期侵害手口
Sekoia.ioのセキュリティアナリストは、脅威検出研究者と協力し、この作戦がホテル施設を標的とした多段階攻撃から始まることを突き止めました。攻撃者はまず、ClickFixソーシャルエンジニアリング戦術を用いた悪意のあるメールを介してホテル管理者のシステムを侵害し、最終的にPureRATマルウェアをインストールします。攻撃者がホテルのBooking.comアカウントを制御すると、プラットフォームと顧客間の確立された信頼を悪用し、宿泊客に対する標的型銀行詐欺を実行します。
初期の侵害段階では、ホテルの予約および管理メールアドレスにスピアフィッシングメールが送信されます。これらのメッセージは、Booking.comからの通信を装い、本物のブランドとホテルスタッフには正規に見えるURLを含んでいます。メールは顧客からのリクエストや予約通知に言及し、受信者に疑わしいリンクをクリックさせる緊急性を生み出します。被害者が提供されたURLをクリックすると、攻撃者の真の目的を隠すように設計された洗練されたリダイレクトインフラストラクチャに遭遇します。
最初のリダイレクトは複数のページを経て、JavaScriptベースのClickFix攻撃をホストする悪意のあるウェブサイトに到達します。このページはBooking.comのブランドを表示し、ホテルの予約エクストラネットへの管理アクセスを確認するという名目で、ユーザーにコマンドをコピーして実行するよう促します。コピーされたコマンドは、マルウェア・アズ・ア・サービスとして販売されているリモートアクセス型トロイの木馬であるPureRATをダウンロードして展開するPowerShell命令を実行します。PureRATがインストールされると、ホテル管理者のマシンに永続性を確立し、攻撃者にシステムへの完全な制御と予約プラットフォームの認証情報へのアクセスを許可します。
宿泊客を狙った詐欺の手口
Booking.comアカウントが侵害されると、脅威アクターはホテル顧客に焦点を移します。被害者は、ハッキングされたアカウントから収集された正規の予約詳細を含むフィッシングメッセージをWhatsAppまたはメールで受け取ります。これらのメッセージは、セキュリティ検証の問題により銀行情報の更新が必要であると主張し、Booking.comの本物の請求インターフェースを模倣したフィッシングページに宿泊客を誘導します。銀行情報を入力した疑うことを知らない旅行者は、二重請求詐欺の被害者となります。宿泊客は、正規のホテル予約と一致する不正な請求を発見し、実質的にすでに予約した宿泊施設に二重に支払うことになります。
サイバー犯罪市場での活動
広告によると、「moderator_booking」は、アフィリエイトプログラムへのアクセスやアクティブな予約を含むBookingログを、高価値のエントリーに対して30ドルから5000ドルの価格で購入しています。サイバー犯罪フォーラムやTelegramでは、Bookingログ購入サービスが提供されています。研究者たちは、この作戦を支援する広範なサイバー犯罪市場活動を特定しました。脅威アクターは、ロシア語圏のサイバー犯罪フォーラムで、侵害されたBooking.comアカウント、インフォスティーラーログ、認証情報チェッカー、マルウェア配布サービスを公然と宣伝しています。先進国の複数のホテルを管理する高価値のアカウントは、数千ドルに達する価格で取引されており、この詐欺モデルを通じて得られる莫大な利益を反映しています。
マルウェアを拡散するために他の犯罪者を募集する「トラファー」や、盗まれた認証情報を検証する「ログチェッカー」、専用のマーケットプレイスなど、専門サービスの普及は、ホスピタリティを標的とした詐欺の産業化を示しています。この作戦は、攻撃者が攻撃の構成要素を専門サービスにアウトソーシングし、参入障壁を下げながらリターンを最大化するという、サイバー犯罪の専門化における広範な傾向を反映しています。
リスクと今後の展望
このキャンペーンは、ホスピタリティビジネスと旅行者の双方に重大なリスクをもたらします。ホテルは認証情報の盗難、不正なアカウントアクセス、評判の損害に直面し、宿泊客は直接的な金銭的損失を被ります。攻撃者の執拗さと洗練されたインフラストクチャは、この作戦が非常に収益性が高く、今後もこのセクターを標的とし続ける可能性が高いことを示唆しています。Sekoia.ioは、この脅威を監視し続け、敵対者のインフラストラクチャを追跡し、同様のキャンペーンから組織を保護するための検出機能を開発しています。