Uwaga na fałszywe wiadomości w aplikacji Booking.com

CERT Orange informuje o przypadkach fałszywych wiadomości wysyłanych przez czat w aplikacji Booking.com. Według zgłoszeń, wiadomości mogą być wysyłane z przejętych kont hotelowych i zawierają linki kierujące do stron podszywających się pod serwis Booking.

Jak działa ten schemat?

Po dokonaniu rezerwacji użytkownik może otrzymać wiadomość z prośbą o ponowne potwierdzenie płatności. Wiadomość zawiera link do zewnętrznej strony, która imituje wygląd serwisu Booking.com, ale w rzeczywistości jest fałszywa. Strona ta wyświetla formularz do wprowadzenia danych karty płatniczej.

Charakterystyczne cechy wiadomości:

• link prowadzi do domeny podobnej do booking.com, np. hxxps://dearyouhotelbapa[.]faf-ib[.]com lub booking[.]confirmation-id***,
• treść zawiera informację, że weryfikacja jest konieczna do potwierdzenia rezerwacji,
• formularz końcowy prosi o podanie danych karty płatniczej.

Jak się chronić?

• nie klikaj w linki prowadzące do nieznanych domen, nawet jeśli wiadomość pochodzi z czatu aplikacji,
• zawsze sprawdzaj, czy adres strony należy do oficjalnej domeny booking.com,
• w przypadku podania danych karty skontaktuj się z bankiem.

Lista podejrzanych domen (IOC):

• booking[.]confirmation-id1274[.]com
• booking[.]confirmation-id4814[.]com
• booking[.]confirmation-id82133[.]com
• booking[.]confirmation-id4481[.]com
• booking[.]confirmation-id1238[.]com
• booking[.]confirmation-id1289[.]com
• booking[.]confirmation-id16591[.]com
• booking[.]confirmation-id1513[.]com
• booking[.]confirmation-id1553[.]com
• booking[.]confirmation-id8644[.]com
• booking[.]confirmation-id1537[.]com
• booking[.]confirmation-id40201[.]com
• booking[.]confirmation-id1548[.]com
• booking[.]confirmation-id79528[.]com
• booking[.]confirmation-id7496[.]com
• booking[.]confirmation-id1603[.]com
• booking[.]confirmation-id6596[.]com
• booking[.]confirmation-id1691[.]com
• booking[.]confirmation-id1831[.]com
• booking[.]confirmation-id49041[.]com
• booking-confirmation-id73552[.]com
• booking[.]confirmation-id91248[.]com
• booking[.]confirmation-id1686[.]com
• booking[.]confirmation-id1833[.]com
• booking[.]confirmation-id56783[.]com
• booking[.]confirmation-id1687[.]com
• booking[.]confirmation-id566323[.]com
• booking[.]confirmation-id1790[.]com
• booking[.]confirmation-id1763[.]com
• confirmation-id1642[.]com
• booking[.]confirmation-id1796[.]com
• booking[.]confirmation-id1829[.]com
• booking[.]confirmation-id79524[.]com
• booking[.]confirmation-id7192[.]com
• booking[.]confirmation-id41240[.]com
• booking[.]confirmation-id1795[.]com
• booking[.]confirmation-id33151[.]com
• booking[.]confirmation-id1767[.]com
• booking[.]confirmation-id453467[.]com
• booking[.]confirmation-id63744[.]com