Une nouvelle campagne de phishing de grande ampleur vise directement les clients d’hôtels et les plateformes de réservation. D’après les analyses de Netcraft, un groupe russophone a enregistré plus de 4 300 noms de domaine frauduleux depuis le début de l’année, tous conçus pour imiter les sites des principales OTA et plateformes d’hébergement.
Les domaines piratés incluent notamment 685 sites contenant le terme “Booking”, ainsi qu’Expedia, Agoda ou Airbnb, révélant une stratégie d’usurpation massive visant à toucher tous les segments du voyage en ligne. Les attaques reposent sur l’envoi d’e-mails incitant les voyageurs à “confirmer leur réservation sous 24 heures” via un lien menant à un faux site.
Les pirates reproduisent logos, couleurs et éléments graphiques des grandes plateformes, tout en ajoutant de faux CAPTCHA imitant Cloudflare et des procédures frauduleuses de “vérification 3D Secure”.
Les victimes sont invitées à saisir leurs données bancaires, immédiatement exfiltrées vers les attaquants et parfois utilisées pour initier une transaction en arrière-plan. Le kit prend également en charge 43 langues, ce qui permet une diffusion internationale.
La campagne affecte en priorité l’Europe centrale et orientale, notamment la République tchèque, la Slovaquie, la Hongrie et l’Allemagne. Les experts appellent les hôteliers à renforcer leurs procédures de vérification et à alerter leurs clients sur les risques liés aux courriels frauduleux concernant leurs réservations.
👀 At a Glance (EN)
Threat Identified: 4,300+ fake travel domains created by a Russian-speaking actor
Targets: Hotel guests using Booking.com, Airbnb, Expedia, Agoda
Phishing Method: Fake booking confirmations, branded phishing pages, Cloudflare-like CAPTCHA
Technical Highlights: 43 languages supported, AD_CODE dynamic tracking, Telegram bot exfiltration
Geographic Focus: Central & Eastern Europe (CZ, SK, HU, DE)
Outlook: Growing adoption of phishing-as-a-service (PhaaS) in the hospitality sector
