Fałszywe e-maile z Booking.com. Trwa globalna kampania phishingowa

Microsoft ostrzega przed szeroko zakrojoną i wciąż aktywną kampanią phishingową, w której cyberprzestępcy podszywają się pod popularną platformę turystyczną: Booking.com. W ramach kampanii atakowani są przede wszystkim pracownicy branży turystyczno-hotelarskiej korzystający ze wspomnianego serwisu.

Atak wymierzony w branżę turystyczną

Microsoft na swoim oficjalnym blogu dotyczącym bezpieczeństwa danych (Microsoft Security) opublikował alarmujący raport w ramach swojego programu Threat Intelligence, ujawniając trwającą kampanię phishingową, która od grudnia 2024 roku atakuje pracowników branży hotelarskiej, podszywając się pod popularną platformę rezerwacyjną Booking.com.

Kampania ta, prowadzona przez grupę oznaczoną jako Storm-1865, wykorzystuje zaawansowaną technikę socjotechniczną zwaną „ClickFix”, aby dostarczać złośliwe oprogramowanie kradnące dane uwierzytelniające. Celem jest kradzież danych finansowych i przeprowadzanie oszustw, a atak wciąż trwa – jak wskazano, był aktywny jeszcze w lutym 2025 roku. Na czym polega technika „ClickFix”? Jak wyjaśnia Microsoft:

W technice ClickFix, aktor zagrożenia próbuje wykorzystać ludzkie tendencje rozwiązywania problemów, wyświetlając fałszywe komunikaty o błędach lub monity, które instruują użytkowników docelowych, aby naprawili problemy poprzez kopiowanie, wklejanie i uruchamianie poleceń, które ostatecznie skutkują pobraniem złośliwego oprogramowania. Microsoft w raporcie

Kampania koncentruje się na organizacjach hotelarskich w Ameryce Północnej, Oceanii, Azji Południowo-Wschodniej oraz w Europie Północnej, Południowej, Wschodniej i Zachodniej – regionach, gdzie Booking.com jest powszechnie używany.

Przebieg ataku

Cyberprzestępcy wysyłają fałszywe e-maile, które na pierwszy rzut oka wyglądają na autentyczne wiadomości od platformy Booking.com. Ich treść jest zróżnicowana: od rzekomych negatywnych opinii gości, przez prośby potencjalnych klientów, po oferty promocji online czy weryfikację konta. Wszystkie te elementy mają na celu wywołanie szybkiej reakcji i skłonienie odbiorców do interakcji z nadesłaną wiadomością. Po kliknięciu w link lub otwarcie załącznika PDF z odnośnikiem, użytkownik trafia na fałszywą stronę internetową, która wymaga rozwiązania CAPTCHA – co dodatkowo uwiarygadnia oszustwo – a następnie uruchamia złośliwe komendy.

Technika „ClickFix” jest szczególnie podstępna, ponieważ wykorzystuje naturalną ludzką skłonność do rozwiązywania problemów. Ofiary są instruowane, by skopiować i wkleić określone komendy – na przykład w oknie „Uruchom” w systemie Windows – co prowadzi do pobrania i uruchomienia złośliwego oprogramowania. Wśród dostarczanych payloadów (czyli porcji złośliwego kodu) znajdują się znane malware, takie jak XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot oraz NetSupport RAT. Każdy z nich ma zdolność kradzieży danych finansowych i poświadczeń, co jest charakterystycznym znakiem rozpoznawczym działań Storm-1865.

Kampania trudna do algorytmicznego odfiltrowania

Grupa ta nie jest nowicjuszem – w 2023 roku atakowała gości hotelowych podobnymi metodami, a w 2024 roku skupiła się na użytkownikach platform e-commerce, co pokazuje jej ewolucję i zdolność adaptacji.
Microsoft podkreśla, że kampania ta jest trudna do wykrycia przez tradycyjne systemy zabezpieczeń, ponieważ wymaga interakcji użytkownika, co pozwala jej omijać automatyczne filtry antyphishingowe. Zasadniczy problem polega na tym, że skuteczność ataku opiera się na ludzkiej naiwności, a nie faktycznych lukach zabezpieczeń w samym oprogramowaniu.

Firma zaleca organizacjom i użytkownikom szereg działań zapobiegawczych:

• sprawdzanie adresu e-mail nadawcy pod kątem autentyczności,
• ostrożność wobec wiadomości wymagających natychmiastowego działania,
• weryfikację linków przez najechanie kursorem na URL oraz zgłaszanie podejrzanych sytuacji bezpośrednio do dostawcy usług.

Dodatkowo Microsoft radzi wdrożenie wieloskładnikowego uwierzytelniania (MFA) i korzystanie z narzędzi takich jak Microsoft Defender for Office 365, które oferują skanowanie linków w czasie rzeczywistym i ochronę przed takimi zagrożeniami.

To nie pierwszy raz, gdy Storm-1865 wykorzystuje Booking.com jako przynętę, co sugeruje, że grupa celowo eksploatuje zaufanie do znanych marek w sektorze turystycznym. Eksperci Microsoftu wskazują, że kampania zyskała na intensywności od początku 2023 roku, a jej sukces opiera się na precyzyjnym targetowaniu osób, które najprawdopodobniej współpracują z Booking.com. W obliczu zbliżających się okresów wzmożonego ruchu turystycznego, takich jak wiosenne i letnie wakacje, zagrożenie to może się nasilić. Microsoft wzywa do podniesienia świadomości w branży i kontynuuje monitorowanie działań Storm-1865, obiecując dalsze aktualizacje w miarę rozwoju sytuacji. Szczegóły raportu dostępne są na oficjalnym blogu bezpieczeństwa Microsoftu.

Źródło: Microsoft Security. Zdjęcie otwierające: Fot. Burdun Iliya / Shutterstock

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.

Artykuł Fałszywe e-maile z Booking.com. Trwa globalna kampania phishingowa pochodzi z serwisu ANDROID.COM.PL - społeczność entuzjastów technologii.