С мая 2025 года в дикой природе наблюдается масштабная цепочка атак на цепочку поставок в сфере гостеприимства. Злоумышленники, скомпрометировав учётные записи систем управления бронированием отелей, напрямую атакуют клиентов Booking[.]com через официальные каналы связи платформы. Цель - хищение платёжных данных под видом срочного подтверждения бронирования. За несколько месяцев для этой кампании было зарегистрировано около тысячи поддельных доменов, имитирующих сайты бронирования и подтверждения.
Описание
Механика атаки: от сотрудника отеля к туристу
Атака начинается с получения доступа к аккаунтам сотрудников отелей в системах управления бронированием. Хотя точный вектор компрометации пока не установлен, высока вероятность связи с кампанией фишинга «I Paid Twice», о которой в ноябре 2024 года сообщала аналитическая фирма Sekoia.io. Исследователи предполагали, что злоумышленники тогда целенаправленно атаковали персонал отелей для кражи учётных данных. Интересно, что такие данные, по информации Sekoia, продаются на русскоязычных форумах менее чем за 5000 долларов за штуку.
![Новая волна фишинга через Booking[.]com](https://1275.ru/wp-content/uploads/2026/01/image.webp)
Получив легитимный доступ, злоумышленники используют встроенный мессенджер Booking.com для рассылки сообщений клиентам отеля. Жертва получает уведомление в приложении и на email якобы от Booking.com с требованием в течение 8 часов подтвердить детали бронирования, в противном случае оно будет отменено. Если пользователь отвечает, ему отправляется ссылка на контролируемый атакующими домен с уникальным идентификатором.
Динамический фишинг с персональными данными
На фишинговой странице сначала появляется фальшивая проверка CloudFlare с кнопкой «Подтвердите, что вы не робот». На самом деле, это элемент интерфейса, который начинает отсчёт времени, ожидая клика жертвы. После нажатия страница перезагружается, извлекает идентификатор брони из URL и подгружает из базы украденных данных реальные детали резервации конкретного туриста: название отеля, даты заезда. Это создаёт иллюзию подлинности.
Далее жертву просят повторно ввести личные контакты - имя, email и телефон, а затем и платёжную информацию. По текущим данным, основной целью атаки является именно сбор этих финансовых данных. Обычно подобный уровень подготовки и доступ к доверенным бизнес-каналам используется для распространения вредоносного ПО, например, NetSupport RAT (Remote Access Trojan - троян удалённого доступа), но в данном случае злоумышленники, судя по всему, ограничиваются мошенничеством.
Инфраструктура и инструменты
Анализ файловых путей и скриптов на фишинговых сайтах указывает на использование специализированных веб-китов для перехвата данных, таких как Scraper/Interceptor. Эти инструменты почти исключительно применяются в мошенничествах с Booking.com и Airbnb и часто ассоциируются с русскоязычными экосистемами, например, Telekopye или «U-Admin» (фишинг-как-услуга). Кит использует набор PHP-файлов для синхронизации действий жертвы с панелью управления атакующего, включая скрипты с характерными именами вроде "payment_card_status.php", что является известной сигнатурой вариантов кита, нацеленных на хищение информации.
Инфраструктура кампании базируется на IP-адресах в Москве, Россия. Один из ключевых адресов, 77.83.207[.]34, с мая 2025 года использовался для более чем 370 доменов, подделывающих темы подтверждения бронирования. Эти домены связаны через регистрационные данные с другими IP-адресами, которые обслуживают сотни похожих доменов. Некоторые домены, например fastchek-by-booking[.]com, использовались в аналогичных фишинговых кампаниях ещё в декабре 2024 года.
Тематика доменов разнообразна: подтверждение брони, проверка карты, ссылки на гостя или отель. Более 300 доменов так или иначе имитируют Booking.com. Также были обнаружены домены, подделывающие Best Western, Expedia, Agoda и даже конкретные отели по всему миру - от Myrtle Beach Resort в США до Hotel Casa Valdese Roma в Италии.
Риски и бездействие платформ
Данная кампания эксплуатирует уязвимость в архитектуре отношений доверия. Используя скомпрометированные учётные записи отелей, злоумышленники обходят стандартные системы безопасности электронной почты и бдительность пользователей, так как сообщения приходят через проверенные каналы Booking.com.
Возникает вопрос о молчании как Booking.com, так и затронутых сетей отелей. Возможное объяснение заключается в юридической позиции Booking.com как посредника, который может возлагать ответственность за безопасность учётных записей непосредственно на отели. Для защитников ключевые возможности обнаружения лежат не в механизме доставки, а в паттернах инфраструктуры - массовой регистрации тематических доменов и их технических связях.
Хотя текущая цель - финансовое мошенничество, полученный злоумышленниками доступ к административным порталам отелей представляет значительный скрытый риск. В будущем это может привести к перемещению внутри сетей или развёртыванию постоянного вредоносного ПО. Кроме того, кража деталей бронирований создаёт риск для клиентов стать жертвами последующих целевых фишинговых атак.
Что делать пользователям и бизнесу
Если вы получили подозрительное сообщение о бронировании, важно действовать правильно. Во-первых, свяжитесь с отелем напрямую по номеру телефона, найденному через Google Maps или на официальном сайте, а не из сообщения. Во-вторых, помните, что настоящие платежи Booking.com проходят только на доменах booking.com. Любой другой URL - мошеннический. В-третьих, если платёж уже совершён, немедленно обратитесь в банк, чтобы оспорить операцию как мошенническую. Также смените пароль в аккаунте Booking.com и включите двухфакторную аутентификацию.
Для отелей и гостиничного бизнеса эта кампания высветила архитектурную слабость: операционная зависимость от сторонних платформ, которые могут не обеспечивать корпоративный уровень контроля безопасности. Отели фактически наделяют внешних поставщиков статусом «доверенного инсайдера», не имея возможности применять к их системам внутренние политики, такие как принудительное завершение сессий, фильтрация исходящих ссылок или ограничение доступа по IP-адресу. Поскольку отели не могут заставить третьи стороны менять свою архитектуру, наиболее практичной стратегией защиты может быть абстрагирование интерфейса от персонала через собственную систему управления имуществом, где можно внедрить более детальный контроль.
Индикаторы компрометации
Domains
- 67663verifycard-booking.com
- againcheck-booking.com
- allsoppandallsoppgroup.quest
- asclrt-feserlv-ypsay.icu
- bk-for-glres.click
- bnrty-gedmt-zqjl.click
- bookedehotelle2025.com
- booking-approval.top
- booking-guestingreservation53672.com
- booking-guestingreservations295912.com
- bookingid291784671.sbs
- booking-reservupdate-2905.com
- book-octrate.com
- bookreservfadrwer-customer.com
- bookresrvupdate.com
- breserve-custommessagehelp.com
- bronirovaniebooking1.icu
- bronirovaniebooking2.world
- bybok-cont-tday.click
- cardcheck1415-booking.com
- cardid5185-booking.com
- cardverif-booking.world
- cardverify5156001-booking.com
- cardverify54311-booking.com
- cardverify54951-booking.com
- cardverify564301-booking.com
- cardverify564891-booking.com
- cardverify586411-booking.com
- cardverify58701-booking.com
- cardverify7651-booking.com
- cardverify87951-booking.com
- cardverify88151-booking.com
- cdgairport.icu
- cfie-gnest-hbenv.click
- check-by-booking.com
- checkcard1015-booking.com
- checkcard1715-booking.com
- checkguests-via-booking.com
- checkinfo-booking.com
- checkinfo-by-booking.com
- checkininfo-by-booking.com
- clipperhotel.icu
- cmpelt-boolking-tday.com
- cofm-sta-tda.buzz
- cofn-resrv-compl.icu
- com-cardholders-verification.com
- compl-resrv.world
- compl-tody-rsrv.click
- complt-revesre-toda.click
- confirmation-11058.com
- confirmation-14329.com
- confirmation-15346.com
- confirmation-17365.com
- confirmation18442.com
- confirmation-19475.com
- confirmation-23650.com
- confirmation-26481.com
- confirmation-26843.com
- confirmation2857.com
- confirmation29785.com
- confirmation-31720.com
- confirmation-34290.com
- confirmation-370388.com
- confirmation-370391.com
- confirmation-370395.com
- confirmation-37094.com
- confirmation-45019.com
- confirmation-48963.com
- confirmation-53782.com
- confirmation-58231.com
- confirmation-59486.com
- confirmation-61748.com
- confirmation-62150.com
- confirmation-68521.com
- confirmation-69872.com
- confirmation-70489.com
- confirmation-74680.com
- confirmation-75624.com
- confirmation-80329.com
- confirmation-83917.com
- confirmation84216.com
- confirmation-84267.com
- confirmation-87136.com
- confirmation-92135.com
- confirmation-92817.com
- confirmation-id.world
- confirmation-id019.com
- confirmation-id081273.com
- confirmation-id081277.com
- confirmation-id081299.com
- confirmation-id0859382.com
- confirmation-id1367.com
- confirmation-id14332449.com
- confirmation-id14332450.com
- confirmation-id14332451.com
- confirmation-id14332452.com
- confirmation-id14332471.com
- confirmation-id14332473.com
- confirmation-id1437340.com
- confirmation-id1437342.com
- confirmation-id1437343.com
- confirmation-id14373444.com
- confirmation-id14373445.com
- confirmation-id14373446.com
- confirmation-id14373447.com
- confirmation-id14373448.com
- confirmation-id14373449.com
- confirmation-id14373450.com
- confirmation-id1437351.com
- confirmation-id1437352.com
- confirmation-id1437353.com
- confirmation-id1437355.com
- confirmation-id155632.com
- confirmation-id190238.com
- confirmation-id196632.com
- confirmation-id2199.com
- confirmation-id2462.com
- confirmation-id24673.com
- confirmation-id2507610.com
- confirmation-id2507611.com
- confirmation-id2507612.com
- confirmation-id2507613.com
- confirmation-id2507650.com
- confirmation-id2507651.com
- confirmation-id2509100.com
- confirmation-id2509101.com
- confirmation-id2509102.com
- confirmation-id2509103.com
- confirmation-id2509160.com
- confirmation-id2509161.com
- confirmation-id2509162.com
- confirmation-id2509163.com
- confirmation-id2509164.com
- confirmation-id2509170.com
- confirmation-id2509171.com
- confirmation-id28573.com
- confirmation-id348.com
- confirmation-id3638.com
- confirmation-id3719.com
- confirmation-id3938.com
- confirmation-id4211.com
- confirmation-id43713.com
- confirmation-id43891.world
- confirmation-id43931.com
- confirmation-id44101.com
- confirmation-id44613.com
- confirmation-id45919.com
- confirmation-id47183.world
- confirmation-id52342623623.com
- confirmation-id52363.com
- confirmation-id534534.com
- confirmation-id534575.com
- confirmation-id543556.com
- confirmation-id544313.com
- confirmation-id5473226.com
- confirmation-id554331.com
- confirmation-id612452.com
- confirmation-id61426346.com
- confirmation-id6199.com
- confirmation-id62342623.com
- confirmation-id632463.com
- confirmation-id6328.com
- confirmation-id633885.com
- confirmation-id634885.com
- confirmation-id635895.com
- confirmation-id637885.com
- confirmation-id647185.com
- confirmation-id647195.com
- confirmation-id647885.com
- confirmation-id65091.world
- confirmation-id6549.com
- confirmation-id67123.world
- confirmation-id67831.world
- confirmation-id6859838.com
- confirmation-id6872.com
- confirmation-id7013.com
- confirmation-id71523.com
- confirmation-id7158.com
- confirmation-id7189.com
- confirmation-id72694.com
- confirmation-id73245.com
- confirmation-id74652.com
- confirmation-id748455287.com
- confirmation-id75234136.com
- confirmation-id75237236.com
- confirmation-id755632.com
- confirmation-id7582.com
- confirmation-id7650.com
- confirmation-id784417.com
- confirmation-id78443.com
- confirmation-id7852.com
- confirmation-id7853564.com
- confirmation-id7899.com
- confirmation-id8147.com
- confirmation-id81723.com
- confirmation-id8491.live
- confirmation-id8539.live
- confirmation-id871234.com
- confirmation-id87782.com
- confirmation-id889424.com
- confirmation-id891723.com
- confirmation-id89305803.com
- confirmation-id897923.com
- confirmation-id90153.com
- confirmation-id901823.com
- confirmation-id9056423.com
- confirmation-id91753.com
- confirmation-id92125.com
- confirmation-id92751.com
- confirmation-id9318.com
- confirmation-id93817.com
- confirmation-id947195.com
- confirmation-id9823.com
- confirmation-id98711.com
- confirmation-id987933.com
- confirmation-id99123.com
- confirmation-id9989.com
- confirmation-one.click
- confirm-id2437282344.com
- confirm-id2971.world
- confirmres4567654id.com
- confirm-reservation.com
- confirm-reservation-id4781.com
- confirm-reservation-id5439.com
- confirm-reservation-id7602.com
- confirm-reserve.com
- confreservation-id04964231.com
- confslmpleresrvatlon.com
- customerbook.cfd
- cz-room24.com
- day-conf-compl.com
- fastcheck-booking.com
- fday-clfrm-grlsv.click
- fnly-yor-okay.com
- fufick.icu
- gcjonf-rsrlv-tody.click
- gesitline-reverv.com
- gjhj4nhj5v.click
- grclno-flirem-tery.icu
- grindlservice.com
- grindlyservice.world
- gsert-cont-onday.icu
- guestcheck-booking.com
- guestinfo-booking.com
- guest-prearrival.com
- guestverify51312-booking.com
- gvntl-svplie-gerlvl.icu
- heclrcv-vopl-ypfau.icu
- help-desk-customer.com
- holder4820-booking.com
- holderid4120-booking.com
- hoteleybookedes2025.com
- hotel-pinomar.world
- htday-clonf-rlsv.click
- htrvf-eftlet-gefecs.click
- id154321.icu
- id29945.com
- id498996.com
- id-553136.world
- idcard1215-booking.com
- idholder1235-booking.com
- inforecheck-by-booking.com
- internationalguestservices.com
- it-garda.com
- it-room24.com
- it-rooms24.com
- iurtey-gkafn-trh.icu
- laf-bnhol-cem.icu
- lefica-bnct-yasht.icu
- mayairbnbdata.info
- maydatarenew.com
- melinarestaurant.cyou
- mfohur-tnus-ypfay.icu
- octorate-confirm.com
- octoreslvatlon.com
- passverify-booking.com
- pvty-czstv-omdl.icu
- rebook-page.click
- rebook-room.click
- recheck-booking.com
- reconfrim881722.world
- reservation-booking.icu
- reservation-confirmed.sbs
- reservation-id25318.world
- reservation-id25673.world
- reservation-id64553.quest
- reservation-id93100413.com
- reserveworkshved.com
- restaurant-reservation.cyou
- resvr-confrm-id4567241.click
- resvr-confrm-id4567244.click
- rleghlt-smrlite-cfmng.com
- rsrlv-comf-ystd.click
- shvedworkaet.top
- simlperesrlvatlonhotel.com
- simmpel-resrvtion.com
- simple-bookingit.com
- simpl-reservatron.com
- slvtq-keltr-mufhr.click
- smple-reserv.com
- smpleresrvtiongeust.com
- smplervation-gst.com
- soppll-jendh-rglslrlv.com
- sovay-dgelrv-somhrm.icu
- sseplt-adrer-asp.icu
- suites-grantville24.world
- supl-rtyez-imm.icu
- svtergh-shtpl-mntek-rtees.rest
- test-my-bok.com
- themyrtlebeachresort.icu
- themyrtlebeachresorts.info
- thfey-glpmlt-fdou.icu
- uk-room24.com
- uk-rooms24.com
- updatedata85945.com
- updatemayupd.com
- verficaion-reserv213552.com
- verficatiuon-reservaon.com
- verficaton-resevaion251134.com
- verif336433guest-booking.com
- verif35623guest-booking.com
- verifguest375673-booking.com
- verif-hillpark-hotel.com
- verificaion-reserv213552.com
- verification12415-booking.com
- verificationid-booking.com
- verify312051-booking.com
- verify31451-booking.com
- verify50741card-booking.com
- verify5142card-booking.com
- verify52412card-booking.com
- verify531card-booking.com
- verify535241card-booking.com
- verify553441card-booking.com
- verifybook-booking.com
- verify-bypass-booking.com
- verify-details574.world
- verifyguest315788-booking.com
- verifyguest3451-booking.com
- verifyguest75956-booking.com
- verifyguest77681-booking.com
- verifyguets12410-booking.com
- verifyguets24111-booking.com
- verifyguets25148-booking.com
- verifyguets3438-booking.com
- verifyguets67841-booking.com
- verifyguets71561-booking.com
- verifyguets74341-booking.com
- verifyguets84511-booking.com
- verifyid5465-booking.com
- visitorroom4873456.com
- xhtef-clqui-sebs.click
- zirt-evnmb-ddfq.icu
