概要
2025年初頭から、ロシア語を話す脅威アクターが、旅行者を標的とした大規模なフィッシングキャンペーンを展開しています。この攻撃では、4,300以上の悪性ドメインが登録され、Airbnb、Booking.com、Expedia、Agodaといった著名な旅行業界ブランドになりすましています。旅行者は、偽のホテル予約確認を装って、クレジットカード情報の入力を騙し取られています。
巧妙な手口とターゲット
このキャンペーンは、ホテル予約確認を謳う悪意のあるスパムメールから始まります。メール内のリンクをクリックすると、ユーザーは複数の仲介サイト(放棄されたドメインや無料ブログプラットフォームを含む)を経由してフィッシングページに誘導されます。この複雑なリダイレクトは、セキュリティフィルターを回避し、攻撃者の特定を困難にする目的があります。
フィッシングページは、共通のスタイルを持ちながらも、URLに埋め込まれた独自の識別子「AD_CODE」を使用して、訪問者の好みに応じてブランドをカスタマイズします。これにより、同じフィッシングドメインが複数の正規の旅行ブランドになりすますことが可能です。有効なAD_CODEなしでアクセスした場合、空白ページやエラーメッセージが表示され、セキュリティ研究者による詐欺の発見を妨げています。
技術的な洗練と国際的な展開
このキャンペーンは、43の異なる言語に翻訳されたフィッシングページを提供することで、国際的なターゲット設定を包括的に行っています。Cookieデータには、「AD_CODE」と、なりすましているブランドを示す「D_TYPE」値が保存されます。ページには、偽の「オンラインヘルプチャット」ウィンドウや、Cloudflareのブランディング要素を模倣した偽のCAPTCHAが含まれており、正当性を高め、ターゲットを騙して不正な取引を完了させようとします。
悪性ドメインの命名規則には、「verification」「confirmation」「booking」「cardverify」「guestverify」といった旅行関連のキーワードが頻繁に使用されています。特定された4,344のドメインのうち、685が「Booking」を含み、「Expedia」が18、「Agoda」が13、「Airbnb」が12含まれています。脅威アクターは通常、週に10〜65のドメインを登録しており、2025年3月20日には1日で511のドメインを登録するという異常な急増が見られました。
データ収集と背後の組織
フィッシングページでは、カード所有者名、カード番号、CVV、有効期限などの支払いカード情報の入力が求められます。初期のフィッシングページでは、「Hotel Palazzo Argenta」という名前が表示され、「Verification In Progress」という画像が重ねられていました。ページは、バックグラウンドで取引を試みる前に、Luhnアルゴリズムによるカードフォーマットの検証を行います。同時に、偽のサポートチャットウィンドウが、偽の予約に対する「追加措置」として支払い情報を提供するよう被害者を促します。
フィッシングインフラは、ユーザーのキーストローク、送信されたカードデータ、チャットのやり取りに関するリアルタイムの更新をウェブサーバーに継続的に送信し、最大限の情報抽出を目的としたデータ収集メカニズムを示しています。フィッシングキットのソースコードには、ロシア語のコメントやデバッグ出力が多数見られ、このキャンペーンがロシア語を話すサイバー犯罪者によって組織されている可能性が高いことを強く示唆しています。
旅行者への脅威
このキャンペーンは、技術的な洗練さと心理的な操作を組み合わせ、大規模に金融情報を侵害しようとするものであり、世界中の旅行者にとって重大な脅威となっています。旅行者は、ホテル予約確認メールのリンクをクリックする際には細心の注意を払い、常に正規のウェブサイトから直接予約状況を確認することが重要です。