Более 4,3 тыс фейковых сайтов Booking.com, Airbnb и Expedia создала российская хакерская группировка для хищения данных

С начала года злоумышленники зарегистрировали более 4,300 доменов, замаскированных под Booking.com, Airbnb, Expedia и Agoda, следует из разбора компании Netcraft — британского провайдера сервисов анализа интернет-инфраструктуры и киберугроз. Кампания нацелена на гостей гостиниц, которым рассылаются письма с требованием «подтвердить бронирование в течение 24 часов».

По данным Netcraft, переход по ссылке запускает цепочку редиректов через старые домены и страницы Blogspot, после чего открывается фейковая форма подтверждения брони. Страницы поддерживают 43 языка, используют логотипы известных брендов и поддельную CAPTCHA, оформленную под Cloudflare.

Как указывается в анализе, фишинговый кит подменяет внешний вид страниц в зависимости от параметра «AD_CODE» в URL. При вводе данных карта проходит проверку формата, затем инициируется попытка списания, а на экране появляется фальшивый «чат поддержки». Всего, по подсчетам исследователей, зафиксировано 4,344 домена, включая 685 доменов со словом «Booking» (там же).

Продолжение ниже

Отдельно отмечается, что в исходных файлах кита содержатся русскоязычные комментарии и отладочные сообщения, что указывает либо на происхождение разработчиков, либо на целевую аудиторию инструмента. Этот вывод приводится исследователями Netcraft.

В материалах также говорится, что часть доменов совпадает с инфраструктурой другой кампании, описанной Sekoia, и обе операции, по оценке Netcraft, фактически представляют собой единую активность.

Отдельным направлением остаются фишинговые письма организациям в Центральной и Восточной Европе, где злоумышленники выступают от имени клиентов и партнеров, запрашивая подтверждение счетов или коммерческих предложений.

Информации о том, что атака затронула российских туристов, в приведенных материалах нет.