Μια μεγάλη εκστρατεία phishing στοχεύει ταξιδιώτες σε όλο τον κόσμο, χρησιμοποιώντας περισσότερους από 4.300 ψεύτικους τομείς για την κλοπή στοιχείων κάρτας πληρωμής.
Η επιχείρηση εστιάζει σε άτομα που σχεδιάζουν διακοπές ή πρόκειται να κάνουν check in σε ξενοδοχεία στέλνοντας ψεύτικα email επιβεβαίωσης κράτησης που φαίνεται να προέρχονται από αξιόπιστες ταξιδιωτικές εταιρείες.
Οι εισβολείς έχουν δημιουργήσει ένα δίκτυο ιστοσελίδων που μοιάζουν με πραγματικές σελίδες κρατήσεων ξενοδοχείων, με γνωστά λογότυπα και επαγγελματικές διατάξεις, γεγονός που καθιστά δύσκολο τον εντοπισμό τους ως απάτες.
Η καμπάνια χρησιμοποιεί ένα καλά κατασκευασμένο κιτ phishing που προσαρμόζεται σε συνδέσμους που αποστέλλονται στα θύματα μέσω email. Όταν κάποιος κάνει κλικ σε έναν σύνδεσμο στο ψεύτικο email, το πρόγραμμα περιήγησής του ανακατευθύνεται μέσω πολλών ιστότοπων προτού προσγειωθεί στη σελίδα phishing.
Τα email υποστηρίζουν ότι μια κράτηση ξενοδοχείου πρέπει να επιβεβαιωθεί εντός 24 ωρών για να αποφευχθεί η ακύρωση, δημιουργώντας μια αίσθηση επείγοντος που ωθεί τα θύματα να ενεργήσουν γρήγορα χωρίς να ελέγξουν προσεκτικά τις λεπτομέρειες.
Οι ψεύτικες σελίδες μιμούνται μεγάλες ταξιδιωτικές μάρκες, συμπεριλαμβανομένων των Airbnb, Booking.com, Expedia και Agoda, χρησιμοποιώντας τα λογότυπά τους και τα σχεδιαστικά τους στοιχεία για να φαίνονται νόμιμες.
.webp.jpeg)
Ερευνητές ασφάλειας Netcraft αναγνωρισθείς ότι ο παράγοντας απειλής πίσω από αυτήν την εκστρατεία είναι ρωσόφωνος, με βάση εκτενή σχόλια στη ρωσική γλώσσα που βρέθηκαν στον πηγαίο κώδικα του κιτ phishing.
Η επιχείρηση ξεκίνησε τον Φεβρουάριο του 2025 και αυξάνεται σταθερά, με τον εισβολέα να κατοχυρώνει νέους τομείς σχεδόν καθημερινά. Μία αξιοσημείωτη άνοδος σημειώθηκε στις 20 Μαρτίου 2025, όταν καταγράφηκαν 511 τομείς σε μία μόνο ημέρα.
Οι τομείς ακολουθούν σταθερά μοτίβα με φράσεις όπως “επιβεβαίωση”, “κράτηση”, “επιβεβαίωση επισκέπτη”, “επιβεβαίωση κάρτας” ή “κράτηση” που εμφανίζονται στα ονόματά τους, συχνά σε συνδυασμό με τυχαίους αριθμούς.
Ο εισβολέας χρησιμοποιεί κυρίως τέσσερις καταχωρητές τομέα: WebNIC, Μητρώο δημόσιου τομέα, Atak Domain Bilgi Teknolojileri AS και MAT BAO Corporation.
Πολλές εκατοντάδες τομείς αναφέρονται ακόμη και σε συγκεκριμένα πολυτελή και boutique ξενοδοχεία από όλο τον κόσμο, κάνοντας την απάτη να φαίνεται πιο στοχευμένη και πειστική στα πιθανά θύματα.
Αλυσίδα ανακατεύθυνσης και μηχανισμός μόλυνσης
Η επίθεση phishing βασίζεται σε ένα πολύπλοκο σύστημα ανακατεύθυνσης που καθιστά πιο δύσκολο τον εντοπισμό και τον αποκλεισμό.
Όταν τα θύματα κάνουν κλικ στο κουμπί «Επιβεβαίωση κράτησης» στο ψεύτικο email, δεν μεταβαίνουν απευθείας στον ιστότοπο ηλεκτρονικού ψαρέματος.
Αντίθετα, ο σύνδεσμος τα στέλνει πρώτα σε έναν παλιό, αχρησιμοποίητο τομέα ιστότοπου που είχε αρχικά καταχωρηθεί το 2016 για προώθηση ταινίας. Στη συνέχεια, αυτός ο ιστότοπος ανακατευθύνεται σε μια σελίδα στο Blogspot, τη δωρεάν πλατφόρμα ιστολογίων της Google, η οποία τελικά ανακατευθύνεται στην πραγματική σελίδα phishing.
Αυτή η αλυσίδα ανακατεύθυνσης πολλαπλών βημάτων εξυπηρετεί πολλούς σκοπούς. Βοηθά τους εισβολείς να αποφύγουν τον εντοπισμό από συστήματα ασφαλείας που ενδέχεται να επισημάνουν απευθείας συνδέσμους σε κακόβουλους ιστότοπους.
Η χρήση νόμιμων πλατφορμών όπως το Blogspot προσθέτει ένα επίπεδο εμπιστοσύνης, καθώς το ενδιάμεσο URL εμφανίζεται σε μια πολύ γνωστή υπηρεσία. Η αλυσίδα καθιστά επίσης πιο δύσκολο για τους ερευνητές ασφαλείας να εντοπίσουν τον τελικό προορισμό και να τερματίσουν τη λειτουργία.
.webp.jpeg)
Μόλις τα θύματα φτάσουν στη σελίδα phishing, βλέπουν αυτό που φαίνεται να είναι μια νόμιμη φόρμα επιβεβαίωσης κράτησης ξενοδοχείου.
Η σελίδα εμφανίζει ένα ψεύτικο Cloudflare CAPTCHA που στην πραγματικότητα δεν λειτουργεί, αλλά χρησιμοποιεί την επωνυμία Cloudflare για να δημιουργήσει ψευδή εμπιστοσύνη.
Αφού περάσουν αυτόν τον πλαστό έλεγχο ασφαλείας, τα θύματα καλούνται να εισαγάγουν τα στοιχεία της κάρτας πληρωμής τους, όπως το όνομα του κατόχου της κάρτας, τον αριθμό της κάρτας, τον κωδικό CVV και την ημερομηνία λήξης.
Η σελίδα εκτελεί επικύρωση Luhn για να ελέγξει εάν η μορφή αριθμού κάρτας είναι σωστή πριν επιχειρήσει να επεξεργαστεί μια δόλια συναλλαγή στο παρασκήνιο.
Ενώ συμβαίνει αυτό, εμφανίζεται ένα ψεύτικο παράθυρο συνομιλίας υποστήριξης με αυτοματοποιημένα μηνύματα που λένε στα θύματα να επιβεβαιώσουν τις ειδοποιήσεις SMS από την τράπεζά τους, οι οποίες είναι στην πραγματικότητα οι πραγματικές ειδοποιήσεις απάτης που ενεργοποιούνται από τις μη εξουσιοδοτημένες χρεώσεις που επιχειρούν οι εισβολείς.
Το κιτ phishing περιλαμβάνει εξελιγμένα χαρακτηριστικά, όπως υποστήριξη για 43 διαφορετικές γλώσσες και δημοσκόπηση σε πραγματικό χρόνο που στέλνει τα πλήκτρα του χρήστη πίσω στον διακομιστή του εισβολέα περίπου μία φορά το δευτερόλεπτο.
Οι σελίδες χρησιμοποιούν ένα μοναδικό αναγνωριστικό που ονομάζεται “AD_CODE” στη διεύθυνση URL που καθορίζει ποια μάρκα ταξιδιού θα υποδυθεί, με διαφορετικούς κωδικούς που παράγουν διαφορετική επωνυμία στον ίδιο τομέα.
Αυτό επιτρέπει στους εισβολείς να εκτελούν πολλές καμπάνιες ταυτόχρονα χρησιμοποιώντας την ίδια υποδομή, στοχεύοντας διαφορετικές επωνυμίες και ξενοδοχεία με προσαρμοσμένες σελίδες για κάθε θύμα.
