Siber tehdit tespit ve müdahale uzmanı Sekoia, önce otelleri hedef alan, ardından doğrudan misafirlerinin peşine düşen yaygın ve devam eden siber suç operasyonunun ayrıntılarını yayınladı.
Araştırmacılar, bir iş ortağının konaklama müşterilerini hedef alan bir kimlik avı kampanyası bildirdikten sonra araştırmaya başladı. Rapora, rezervasyonlarını iki kez ödemesi için kandırılan bir kurbanın e-posta konu satırından, biri otele, diğeri suçluya olmak üzere, adını “İki Kez Ödedim” adını verdiler.
Şirket, dolandırıcıların son derece organize olduğuna inanıyor. Başlangıç olarak, otel yöneticilerinin listelenmemiş iletişim bilgilerini, genellikle web sitelerini arayarak veya LolzTeam adı verilen Rusça forumlar gibi forumlardaki e-posta listelerini satın alarak elde ediyorlar. Araştırmacılar, bu yönetici veritabanlarının toplu satışlarda “onlarca dolar” kadar düşük bir maliyete sahip olabileceğini belirtti.
Otelde Saldırı Nasıl Başlıyor?
Nisan 2025’ten bu yana aktif olan ve Ekim 2025’in başlarında hala çalışmaya devam eden program, otel sistemlerine yapılan bir saldırıyla başlıyor. Personel, bazen Booking.com logosunu kullanan müşteri istekleri gibi görünen yanıltıcı e-postalar alıyor. Bu e-postalar otelin rezervasyon veya yönetim e-postasına gönderilir.
E-posta, özellikle geliştiricisi PureCoder tarafından bir hizmet olarak satılan PureRAT (aka PureHVNC ve ResolverRAT) olmak üzere kötü amaçlı yazılım yüklemek için ClickFix adlı bir taktiği kullanan bir bağlantı içeriyor. Bu kötü amaçlı yazılım, aşağıdaki gibi rezervasyon platformlarının profesyonel giriş bilgilerini çalabilir: Booking.com.
PureRAT, suçlulara tam uzaktan kontrol sağlayarak profesyonel oturum açma bilgilerini çalmalarına olanak tanır. Bazen kötü amaçlı yazılım, otel personelini kazara virüslü web sitelerine yönlendirmek için kötü amaçlı çevrimiçi reklamlar veya arama motoru hileleri kullanılarak otomatik indirmeler yoluyla da otomatik olarak dağıtılır. Bu çalıntı otel hesabı erişimi bir kez ele geçirildiğinde genellikle çevrimiçi olarak satılır.
Gezginleri Hedeflemek
Gerçek bir erişime sahip Booking.com Dolandırıcılar, bir sonraki adımı inanılmaz derecede ikna edici hale getirmek için konukların kişisel ve rezervasyon bilgilerini kullanıyor. Müşterilerle WhatsApp veya e-posta aracılığıyla iletişime geçiliyor ve ödemelerinde bir güvenlik sorunu olduğu söyleniyor. Saldırganların bunun, Booking.com iptalleri durdurmak, sahte güvenilirlik kazandırmak.
Konuk daha sonra banka bilgilerini çalmak için sahte bir web sitesine gönderilir. Sekoia araştırmacıları, “Ekim 2025 itibarıyla birkaç ay boyunca aktif olan yüzlerce kötü amaçlı alan adını” izledikleri için bu planın çok karlı olması gerektiğini değerlendirdi.
ek olarak Booking.comaraştırma şirketi, dolandırıcıların aynı zamanda Expedia gibi diğer rezervasyon sitelerinin kimliğine büründüğünü de tespit etti. Bu, seyahat ve konaklama endüstrisindeki insanları ne kadar geniş bir şekilde hedeflediklerini gösteriyor.
Bildiğimiz şekliyle siber suç son derece organize bir iş haline geldi ve hem işletmeleri hem de onların müşterilerini hedef alan bu özel dolandırıcılık modeli, onu yürüten kişiler açısından başarılı olmaya devam ediyor.