Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Руски хакери креираат 4.300 лажни туристички сајтови за да ги украдат податоците за плаќање на гости во хотели

Објавено: 14.11.2025

Руски говорен напаѓач, зад тековна масовна фишинг кампања, регистрирал повеќе од 4.300 домени од почетокот на годината.

Активноста, според истражувачот за сајбер безбедност од Netcraft, Ендру Брандт, е наменета за корисници на угостителската индустрија, конкретно гости на хотели кои можеби имаат резервации, преку спам е-пораки. Се наведува дека кампањата започнала сериозно околу февруари 2025 година.

Од 4.344 домени поврзани со нападот, 685 содржат име „Booking“, следувани од 18 со „Expedia“, 13 со „Agoda“ и 12 со „Airbnb“, што укажува на обид да се таргетираат сите популарни платформи за резервации и изнајмување.

„Тековната кампања користи софистициран фишинг пакет кој ја прилагодува страницата што се прикажува на посетителот на сајтот во зависност од уникатен низ во патеката на URL кога целта првпат го посетува веб-сајтот“, изјави Брандт. „Прилагодувањата користат логоа од големи брендови на онлајн туристичката индустрија, вклучувајќи Airbnb и Booking.com.“

Нападот започнува со фишинг е-порака која ги повикува примателите да кликнат на линк за да ја потврдат нивната резервација во следните 24 часа користејќи кредитна картичка. Доколку ја прифатат мамката, жртвите се однесуваат на лажен сајт по ланец на пренасочувања. Овие лажни сајтови следат конзистентни шеми за именување на домените, користејќи фрази како confirmation, booking, guestcheck, cardverify или reservation за да создадат илузија на легитимност.

Страниците поддржуваат 43 различни јазици, што им овозможува на напаѓачите да фатат широка публика. Потоа страницата ги инструктира жртвите да уплатат депозит за нивната резервација на хотелот со внесување на податоците за картичката. Доколку корисникот директно обиде да пристапи на страницата без уникатен идентификатор наречен AD_CODE, тој гледа празна страница. Лажните сајтови исто така содржат лажна CAPTCHA проверка која имитира Cloudflare за да ја измами целта.

„По првичната посета, вредноста на AD_CODE се запишува во колачиња, што обезбедува дека следните страници ќе прикажат иста имитирана брендирана презентација на посетителот додека кликнува низ страниците“, изјави Netcraft. Ова исто така значи дека менувањето на вредноста на „AD_CODE“ во URL создава страница која таргетира различен хотел на истата платформа за резервации.

Штом се внесат податоците за картичката, заедно со датумот на истекување и CVV бројот, страницата обидува да обработи трансакција во позадина, додека на екранот се појавува прозорец „support chat“ со чекори за завршување на наводна „3D Secure верификација за вашата кредитна картичка“ за заштита од лажни резервации.

Идентитетот на групата напаѓачи зад кампањата останува непознат, но употребата на руски јазик во коментари на изворниот код и резултати од дебагерот или упатува на нивното потекло, или претставува обид да се задоволат потенцијалните купувачи на фишинг пакетот кои можеби сакаат да го прилагодат според нивните потреби.

Ова откритие доаѓа неколку дена откако Sekoia предупреди за голема фишинг кампања насочена кон угостителската индустрија, која ги мамеше менаџерите на хотели да посетуваат страници слични на ClickFix и да ги откријат нивните креденцијали преку инсталирање на малициозен софтвер како PureRAT, а потоа им се приближувале на клиентите на хотелите преку WhatsApp или е-пораки со нивните детали за резервации и ги убедувале да ја потврдат резервацијата со клик на линк.

Интересно, еден од индикаторите споделени од француската компанија за сајбер безбедност – guestverifiy5313-booking[.]com/67122859 – одговара на образецот на домените регистрирани од напаѓачот (на пример, verifyguets71561-booking[.]com), што ја отвора можноста овие два кластери на активности да бидат поврзани. Hacker News се обрати до Netcraft за коментар, и ќе ја ажурираме приказната доколку добиеме одговор.

Во последните недели, големите фишинг кампањи исто така се претставувале како повеќе брендови како Microsoft, Adobe, WeTransfer, FedEx и DHL за да ги украдат креденцијалите, дистрибуирајќи HTML прилози преку е-пошта. Вградените HTML фајлови, откако ќе се отворат, прикажуваат лажна страница за најава, додека JavaScript код ги собира внесените креденцијали од жртвата и ги испраќа директно на Telegram ботови контролирани од напаѓачите, рече Cyble.

Кампањата главно била насочена кон широк спектар организации во Централна и Источна Европа, особено во Чешка, Словачка, Унгарија и Германија.

„Напаѓачите испраќаат фишинг е-пораки претставувајќи се како легитимни клиенти или деловни партнери, барајќи понуди или потврди за фактури,“ посочи компанијата. „Овој регионален фокус е очигледен преку таргетираните домени на приматели кои припаѓаат на локални претпријатија, дистрибутери, ентитети поврзани со владата и компании од угостителскиот сектор кои рутински обработуваат барања за понуди и комуникации со добавувачи.“

Понатаму, фишинг пакети биле употребени во голема кампања насочена кон клиентите на Aruba S.p.A, еден од најголемите италијански провајдери за веб-хостинг и ИТ услуги, во сличен обид да се украдат чувствителни податоци и информации за плаќање.

Фишинг пакетот е „целосно автоматизирана, повеќестепена платформа дизајнирана за ефикасност и тајност,“ рекоа истражувачите на Group-IB, Иван Салипур и Федерико Мараци. „Тој користи CAPTCHA филтрирање за избегнување на безбедносни скенирања, однапред пополнува податоци на жртвата за зголемување на кредибилитетот и користи Telegram ботови за извлекување на украдени креденцијали и информации за плаќање. Секоја функција служи една цел: кражба на креденцијали во индустриски размери.“

Овие наоди ја демонстрираат растечката побарувачка за phishing-as-a-service (PhaaS) услуги во подземната економија, која им овозможува на напаѓачите со малку или без техничко знаење да извршуваат напади во голем обем.

„Автоматизацијата која се забележува во овој специфичен пакет покажува како фишингот станал систематизиран – побрз за имплементирање, потежок за откривање и полесен за реплицирање,“ додаде сингапурската компанија. „Она што некогаш бараше техничка експертиза, сега може да се изврши во големи размери преку однапред подготвени, автоматизирани рамки.“

Извори:

  • The Hacker News – Russian Hackers Create 4,300 Fake Travel Sites to Steal Hotel Guests’ Payment Data The Hacker News