Над 4 300 зловредни домейна са регистрирани от рускоговоряща заплаха, стояща зад една от най-мащабните фишинг операции за 2025 г., насочена към клиенти на туристическата и хотелската индустрия. По данни на изследователя на Netcraft Андрю Брандт кампанията е активна от февруари 2025 г. и продължава да разширява обхвата си в цяла Централна и Източна Европа.

От всички засечени домейни:

• 685 съдържат “Booking”,

• 18 – “Expedia”,

• 13 – “Agoda”,

• 12 – “Airbnb”.

Тенденцията е ясна – злонамерените лица изграждат фалшиви сайтове, имитиращи най-популярните глобални платформи за резервации.

Сложен фишинг кит с динамична персонализация

Основни техники в кампанията:

• Динамична подмяна на съдържанието според уникален URL идентификатор (AD_CODE).

• Автоматично зареждане на лога на съответната туристическа платформа.

• Поддръжка на 43 езика, което позволява масово таргетиране.

• Фалшива Cloudflare CAPTCHA страница за създаване на доверие.

• Пренасочване през верига от домейни до финална страница за кражба на данни.

Забележителна е функционалността, при която системата записва AD_CODE в cookie и така запазва персонализирания „фалшив бранд“ през целия процес.

Сценарий на атаката: от имейл до кражба на карта

Кампанията стартира с фишинг имейли, които призовават получателя да „потвърди резервацията си в следващите 24 часа“ чрез кредитна карта.

Попадналите в капана потребители се пренасочват към фалшив сайт, използващ домейни, имитиращи реални страници – например confirmation, booking, guestcheck, cardverify, reservation.

След въвеждане на данните на картата:

• се прави пълен опит за транзакция на заден фон;

• активира се фалшив „чат за поддръжка“;

• показват се инструкции за фиктивна 3D Secure верификация.

Всички данни – номер на карта, валидност, CVV – се предават към сървърите на нападателите.

Връзка с друга кампания срещу хотелиери в ЕС

Сходства с разкрита наскоро атака от Sekoia, насочена срещу хотелски мениджъри чрез ClickFix-подобни страници, подсказват, че става дума за една и съща престъпна инфраструктура. Netcraft потвърждава „значително припокриване“ между индикаторите за компрометиране – например домейни от типа:

• guestverify5313-booking[.]com

• verifyguets71561-booking[.]com

Това говори за централизиран оператор, който управлява голям обем домейни и фишинг шаблони.

Разрастване към други брандове и държави

През последните седмици фишинг кампании, ползващи сходни HTML файлове, имитират:
Microsoft, Adobe, WeTransfer, FedEx, DHL.

HTML файловете съдържат JavaScript, който изпраща откраднатите пароли директно към Telegram ботове, контролирани от атакуващите.

Този вълнови модел засяга организации в:

• Чехия,

• Словакия,

• Унгария,

• Германия,

• както и Италия (където е атакуван Aruba S.p.A).

Фишинг като услуга (PhaaS): индустриално решение за мащабни атаки

Голямата картина разкрива нарастващия пазар на phishing‑as‑a‑service, позволяващ на начинаещи престъпници да провеждат атаки на професионално ниво.

По данни на Group-IB използваните китове са:

• напълно автоматизирани мултиетапни платформи,

• използващи CAPTCHA филтри за избягване на скенери;

• предварително попълващи данни на жертвата за реализъм;

• включващи Telegram ботове за ексфилтрация;

• оптимизирани за бързо разгръщане и масов мащаб.

Фирмата заключава:

„Фишингът вече е систематизиран – по-бърз за внедряване, по-труден за засичане и лесно мултиплициран.“

Европа под индустриализиран фишинг натиск

Комбинацията от автоматизация, многоезичност, огромен брой домейни и ясна географска целенасоченост показва, че Европа е изправена пред най-организираната вълна от фишинг операции в туристическия сектор за последните години.

Кампанията е индикатор за нарастващото професионализиране на рускоезични престъпни групи, които функционират с инфраструктура, наподобяваща реален SaaS бизнес – само че с обратна цел: масова кражба на идентичности и финансови данни.