ИБ-эксперты зафиксировали масштабную фишинговую кампанию, в рамках которой русскоязычные хакеры с начала 2025 года зарегистрировали более 4300 поддельных доменов, маскирующихся под известные туристические платформы. По данным аналитика по киберугрозам компании Netcraft Эндрю Брандта, эта атака направлена на клиентов отелей и сервисов аренды жилья, и в первую очередь касается тех, кто совершал бронирования через крупные онлайн-платформы.
По наблюдениям, мошенническая активность усилилась примерно в феврале. Всего идентифицировано 4344 домена, из которых 685 используют наименование «Booking», 18 — «Expedia», 13 — «Agoda», ещё 12 — «Airbnb».
Такой выбор показывает стремление атакующих охватить все популярные сервисы для размещения путешественников. При этом фишинговая инфраструктура построена так, чтобы обман был максимально реалистичным.
По словам Эндрю Брандта, применяются многоуровневые технические приёмы. Поддельные сайты динамически подстраиваются под посетителя, используя уникальные строки в URL-адресах, которые передаются из письма. Таким образом создаётся иллюзия индивидуального подтверждения бронирования.
Кроме того, для повышения доверия подгружаются фирменные логотипы, стилистика оформления и даже локализованные версии страниц. Всего используются 43 языка, что даёт возможность атаковать жертв в разных странах.
Атака начинается с рассылки писем, содержащих ссылку на «срочное подтверждение бронирования», действительное якобы в течение 24 часов. Получатель попадает на фальшивую страницу, оформленную под узнаваемый бренд. Дальнейшие действия требуют ввода данных банковской карты — номера, срока действия и CVV-кода. Мошеннический сайт запускает фоновую попытку списания средств. При этом появляется поддельное окно «онлайн-поддержки», где предлагается пройти проверку 3D Secure, имитирующую процесс защиты от подозрительных транзакций.
Для дополнительного правдоподобия на поддельных страницах размещается поддельная CAPTCHA, стилизованная под защиту Cloudflare. При первом переходе на сайт создаётся cookie-файл, в который записывается идентификатор AD_CODE.
Это значение влияет на отображаемый контент: при повторных визитах пользователь видит страницу с тем же брендом, а изменение кода в URL приводит к генерации другого сайта, якобы связанного с другим отелем или бронированием.
В Netcraft также обращают внимание на технические детали: в исходном коде некоторых страниц и в комментариях отладчика обнаружены фрагменты на русском языке. Специалисты не исключают, что злоумышленники могут быть связаны с русскоязычными группами. Альтернативная версия предполагает, что использование русского языка может быть маркетинговым ходом, направленным на потенциальных клиентов фишингового конструктора, желающих адаптировать систему под собственные цели.
Оригинал публикации на сайте CISOCLUB: ""Русских хакеров" обвинил в создании 4300 поддельных туристических сайтов для кражи платёжных данных гостей отелей".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.