自 2025 年春季以来,一场计算机攻击活动袭击了世界各地的酒店,其效果已欺骗了数千名旅客。 Sekoia.io 团队将这一行动称为“我支付了两次”,其想法很简单,首先感染酒店机构,利用其 Booking.com 帐户的访问权,以几乎完全可信的消息诱骗客户。
第一次违规:从合法帐户发送的诱杀电子邮件
攻击从一封电子邮件开始,该电子邮件不是发送给旅行者,而是发送给预订服务或酒店管理地址。这些消息来自受损的企业帐户,有时属于其他公司,并且真实地模仿 Booking.com 的视觉标识。这些对象旨在吸引忙碌的接待员的注意力:“新的最后一刻预订”、“新的客人消息”或“跟踪代码”。没有迹象表明这是一条陷阱消息,受影响的酒店有时会在几天内收到几封类似的电子邮件,就好像预订活动正在加剧一样。
消息中包含的链接不会立即打开恶意页面,而是首先经过复杂的重定向基础设施。数百个域名均基于同一模型构建,将用户发送到仅包含元刷新标记的中间 HTTP 页面,然后将其切换到最终 URL。这种架构是 TDS 的典型架构,TDS 是一种流量分配系统,旨在吸收阻塞、隐藏实际服务器并抵御拆除尝试。
ClickFix 陷阱:危害整个系统的 PowerShell 命令
在这些重定向结束时,酒店经营者会登陆一个页面,该页面复制了预订外联网的界面,其中包含官方品牌、可能激发信心的 URL 元素以及名为 ClickFix 的虚假 reCAPTCHA。该操作包括说服用户将 PowerShell 命令复制到终端中以“解锁访问”或“验证其身份”。操作只持续几秒钟,但足以彻底破坏机器。
操作:向客户发送消息,并添加真实数据
一旦工作站遭到破坏并捕获外网访问,攻击就会进入第二阶段。网络犯罪分子连接到酒店的 Booking.com 帐户并检索预订数据:身份、入住日期、金额、酒店照片、之前的交易。这些真实的信息使他们能够直接通过 Booking 消息服务或通过 WhatsApp 联系客户并发起可信的交换。
然后,受害者会收到一条消息,表明涉嫌银行验证问题,并要求他们确认信息以避免预订被取消。提供的链接会将您带到一个完全模仿 Booking.com 或 Expedia 的页面,连排版都完美模仿。这些页面托管在 Cloudflare 后面,并由俄罗斯 ASN 隐藏,作为防弹托管运行,收集旅客输入的银行详细信息。 Sekoia.io 证实,一些客户实际上为住宿支付了两次费用:一次是向酒店支付,第二次是向网络犯罪分子支付。
围绕预订访问构建的犯罪生态系统
自 2022 年以来,俄语论坛上充斥着来自受信息窃取者感染的机器的预订日志的销售和购买。价格从几美分到几千美元不等,具体取决于标识符的质量、管理的机构数量以及相关的欺诈可能性。一些玩家专门致力于购买和转售这些日志,例如以化名 moderator_booking 运营的团体,该团体声称通过这种模式获得了超过 2000 万美元的收入。
其他网络犯罪分子专门收集酒店管理员的电子邮件,抓取该行业的数千个网站或提供按国家或酒店类别排序的数据库。最后,“交易者”团队负责分发恶意软件,将流量从 Twitter、Facebook 或 Google 路由到恶意页面,以换取利润分成。
整个市场构成了一个组织完善的市场,欺诈的每个阶段(感染、转售、验证、利用、网络钓鱼)都可以由专门的参与者来处理。
对酒店业的持久威胁
“我支付了两次”活动表明,酒店面临风险并不是因为 Booking.com 特有的技术漏洞,而是因为它们为网络犯罪分子提供了更容易进入的切入点。他们暴露的原因是接待站保护薄弱、缺乏网络分段、缺乏团队培训以及对预订外联网的强烈依赖。这些妥协会导致直接的财务损失、报销请求、与客户的紧张关系、法律风险以及声誉的持久损害。
可重复的模型和行业的重大警报
这种基于服务提供商的妥协和真实数据利用的欺诈行为远远超出了酒店行业的范围。它可以扩展到价值链依赖于外联网、管理门户或保护不力的合作伙伴界面的所有领域。旅行社、季节性租赁、运输公司,还有物流、医疗、房地产和零售。
在这些操作日趋完善的环境中,只有将员工培训、安全访问和掌握数字工具严格结合起来,才能可持续地遏制此类攻击。
