تستغل حملة تصيد احتيالي جديدة تستهدف شركاء وعملاء Booking.com الثقة في العلامات التجارية للسفر لسرقة الأموال والبيانات الحساسة. تبدأ هذه الحملة برسائل خدمة، وقد تنتهي بخداع مالي وتعريض معلومات البطاقات للخطر.
تستهدف الرسائل الأولية صناديق البريد الخاصة بحجوزات الفنادق أو الدعم، وتحث الموظفين على النقر على رابط يتعلق بـ “شكوى” أو استفسار عن غرفة. يبدو الرابط شرعياً في نص البريد الإلكتروني، ولكنه يوجه المتصفح إلى صفحات يتحكم فيها المهاجمون مصممة لسرقة بيانات تسجيل الدخول. وقد حدد باحثون في شركة Bridewell هذه العملية بأنها حملة جديدة ذات دوافع مالية، لوحظت منذ أوائل يناير 2026. وقد تم تصميمها لاستخدام خطة متعددة المراحل باستخدام مجموعتي تصيد مختلفتين: الأولى لتوجيه الخبث إلى شريك Booking.com، والثانية لسرقة بيانات الاعتماد من الموظفين، وأخيراً خِداع يستهدف العملاء باستخدام تفاصيل الحجز المسروقة.
حملة تصيد Booking.com الاحتيالية متعددة المراحل
في مرحلة الشريك، تستخدم الحملة نطاقات تبدو مشابهة لـ Booking.com وعمليات إعادة توجيه، بما في ذلك خدعة “البدائل المتشابهة” التي تستبدل حرفًا سيريليًا لإنشاء كلمة “booking”. كما تستخدم عناوين URL التي تتضمن عادةً معلمات مثل “complaint?optoken=”. بمجرد وصول الضحايا إلى البوابة المزيفة، يتم جمع بيانات الاعتماد الخاصة بهم، ثم تُستخدم لاحقًا للوصول إلى حسابات شركاء Booking.com الحقيقية.
لاحظت Bridewell أن مجموعة أدوات التصيد الخاصة بالشركاء تتضمن أيضاً وسائل للتهرب من الدفاعات. حيث تقوم البنية التحتية للاستضافة بفحص الزوار، وعند فشل التحقق، تعرض مواقع ويب وهمية “لتنظيف الفنادق” بدلاً من صفحة التصيد. عندما تنجح التحققات، يتم إعادة توجيه الضحايا إلى صفحة تسجيل دخول مزيفة للشركاء تستضيفها نطاق فرعي يشبه “bookling” ومسارات تسجيل دخول مرمزة.
التطور إلى استهداف العملاء
بعد الاستيلاء على الحساب، يقوم المهاجمون بالتحول إلى استهداف العملاء، وإرسال رسائل واتساب مقنعة تحتوي على تفاصيل حجز دقيقة وتخلق شعوراً بالإلحاح. يتم توجيه الضحايا عبر اختبار CAPTCHA من Cloudflare إلى صفحة دفع مشابهة لصفحة Booking.com.
يجب على الفنادق فرض المصادقة متعددة العوامل (MFA) على حسابات الشركاء، وتقييد الوصول إلى بوابات الحجز، ومعاملة روابط “الشكاوى” غير المتوقعة على أنها عالية الخطورة، حتى لو بدت واردة من علامات تجارية معروفة. يمكن أن يساعد تسجيل التنبيهات بشأن عمليات تسجيل الدخول الجديدة، وإعادة تعيين كلمات المرور، وعمليات إعادة التوجيه الخارجية غير المعتادة في اكتشاف الاستيلاء على الحساب قبل استهداف الضيوف.
يجب على الفنادق أيضاً مراجعة فلاتر البريد الإلكتروني، وحظر النطاقات الجديدة المشابهة، والإبلاغ عن الانتهاكات للمسجلين. ينبغي على العملاء عدم الدفع عبر الروابط المستلمة في تطبيقات الدردشة، والتأكد من المشكلات باستخدام التطبيق الرسمي أو طريقة اتصال مؤكدة من الفندق.
إذا تم إدخال تفاصيل على صفحة مشبوهة، فيجب تغيير كلمات المرور، والاتصال بالبنك، وطلب من الفندق التحقق مما إذا كان قد تم الوصول إلى حساب Booking.com الخاص بهم.