کمیته رکن چهارم– گزارشهای منتشرشده نشان میدهد که یک عامل تهدید روسزبان با ساخت بیش از ۴۳۰۰ دامنه جعلی در حوزه گردشگری، اقدام به سرقت اطلاعات پرداخت مهمانان هتل کرده و برندهای معتبر رزرو آنلاین را جعل هویت کرده است.
به گزارش کمیته رکن چهارم، این کمپین فیشینگ که از فوریه ۲۰۲۵ آغاز شده، شامل ثبت دامنههایی با اسامی مشابه پلتفرمهای معروفی مانند Booking، Expedia، Agoda و Airbnb بوده است. از بین این دامنهها، ۶۸۵ مورد از نام Booking استفاده کردهاند. مهاجمان با ارسال ایمیلهای جعلی از کاربران میخواهند ظرف ۲۴ ساعت رزرو خود را با کارت بانکی تأیید کنند و آنان را به صفحاتی با ظاهر فریبنده و لوگوهای برندهای مشهور هدایت میکنند.
این صفحات که از ۴۳ زبان پشتیبانی میکنند، از شناسه خاص AD_CODE برای نمایش نسخهای شخصیسازیشده استفاده کرده و با استفاده از CAPTCHA جعلی بهظاهر امنیت آن را افزایش میدهند. کاربران پس از وارد کردن اطلاعات کارت، با فرمی جعلی با عنوان تأیید سهمرحلهای (۳D Secure) روبهرو میشوند، در حالی که اطلاعاتشان در پسزمینه دزدیده میشود.
تحقیقات نشان میدهد که کدهای این سایتها به زبان روسی نوشته شدهاند و مشابهت دامنههای آن با دامنههای شناساییشده در حملات قبلی Sekoia احتمال ارتباط بین کمپینها را تقویت میکند. در کمپینهای مشابه، بدافزارهایی مانند PureRAT نیز از طریق صفحات جعلی به کاربران منتقل شدهاند.
همچنین در حملاتی دیگر، فایلهای HTML جعلی با برندهایی نظیر مایکروسافت، Adobe و DHL از طریق ایمیل ارسال شده و اطلاعات واردشده کاربران مستقیماً به باتهای تلگرام متصل به مهاجم فرستاده میشوند. این فعالیتها بیشتر در اروپای مرکزی و شرقی شامل آلمان، چک، اسلواکی و مجارستان دیده شدهاند و هدف آنها نهادهای دولتی و شرکتهای محلی بوده است.
تحلیلگران امنیتی تأکید دارند که این کیتهای فیشینگ با بهرهگیری از اتوماسیون و چندمرحلهای بودن، سرقت اطلاعات را در مقیاس صنعتی ممکن کردهاند. این موضوع نشان میدهد که فیشینگ به فرآیندی سیستماتیک و قابل تکرار تبدیل شده است.
