New Phishing Campaign Targets Booking.com Partners and Customers in Multi-Stage Financial Fraud Scheme

แคมเปญฟิชชิ่งที่ถูกออกแบบใหม่ซึ่งมีแรงจูงใจทางการเงินกำลังพุ่งเป้าไปที่ทั้งพาร์ทเนอร์ของ Booking.com (โรงแรม) และลูกค้าของพวกเขา การโจมตีเริ่มต้นด้วยข้อความบริการปลอม (เช่น การร้องเรียนหรือคำขอเกี่ยวกับห้องพัก) ที่ส่งไปยังพนักงานโรงแรม เพื่อล่อให้คลิกลิงก์ที่เป็นอันตราย ลิงก์เหล่านี้จะนำไปสู่หน้าเว็บที่ควบคุมโดยผู้โจมตีซึ่งดูเหมือนจริง แต่มีวัตถุประสงค์เพื่อขโมยข้อมูลเข้าสู่ระบบ หลังจากเข้าถึงบัญชีโรงแรมที่ถูกบุกรุกได้ ผู้โจมตีจะดึงรายละเอียดการจองของลูกค้า จากนั้นจะส่งข้อความ WhatsApp ที่น่าเชื่อถือพร้อมรายละเอียดการจองที่ถูกต้องและกระตุ้นให้เกิดความเร่งด่วน โดยพาเหยื่อผ่าน Cloudflare CAPTCHA ไปยังหน้าชำระเงินที่ดูเหมือน Booking.com เพื่อขโมยข้อมูลการชำระเงินและบัตรเครดิต แผนการโจมตีหลายขั้นตอนที่พบเห็นตั้งแต่ต้นเดือนมกราคม 2026 นี้ ใช้ความน่าเชื่อถือของแบรนด์การท่องเที่ยวเพื่อทำการฉ้อโกงทางการเงินและขโมยข้อมูล

Severity: สูง

System Impact:

• Booking.com Partners (โรงแรม): บัญชีถูกบุกรุก, ความเสียหายทางการเงินที่อาจเกิดขึ้น, ความเสียหายต่อชื่อเสียง
• Booking.com Customers: การฉ้อโกงทางการเงิน, การเปิดเผยข้อมูลบัตรเครดิต, การขโมยข้อมูลส่วนบุคคล
• ระบบอีเมล: ใช้ในการส่งข้อความฟิชชิ่งเริ่มต้น
• แอปพลิเคชันส่งข้อความ (เช่น WhatsApp): ใช้ในการหลอกลวงลูกค้า
• Cloudflare: ใช้สำหรับ CAPTCHA และเทคนิคการหลีกเลี่ยงการตรวจจับ

Technical Attack Steps:

1. 1. **การล่อลวงเริ่มต้น**: ส่งอีเมลฟิชชิ่งไปยังกล่องจดหมายการจองหรือฝ่ายสนับสนุนของโรงแรม โดยปลอมเป็นข้อความบริการเกี่ยวกับการ ‘ร้องเรียน’ หรือสอบถามห้องพัก
2. 2. **การขโมยข้อมูลรับรอง (เฟสของพาร์ทเนอร์)**: พนักงานโรงแรมคลิกลิงก์ที่เป็นอันตรายในอีเมล ซึ่งนำพวกเขาไปยังโดเมนที่ผู้โจมตีควบคุมและดูเหมือนจริง (เช่น ใช้เทคนิค IDN homograph หรือโดเมนย่อย ‘bookling’)
3. 3. **การหลีกเลี่ยงการป้องกัน**: โครงสร้างพื้นฐานโฮสติ้งจะตรวจสอบลายนิ้วมือของผู้เยี่ยมชม โดยแสดงเว็บไซต์ ‘ทำความสะอาดโรงแรม’ ปลอมที่เป็นอันตรายต่อผู้ใช้ที่ไม่ใช่เป้าหมาย ในขณะที่เหยื่อจริงจะเห็นหน้าฟิชชิ่ง
4. 4. **การเข้ายึดบัญชี**: ข้อมูลประจำตัวที่ถูกขโมยไปจะถูกใช้เพื่อเข้าถึงบัญชีพาร์ทเนอร์ Booking.com ที่ถูกต้องของโรงแรม
5. 5. **การขโมยข้อมูล**: ผู้โจมตีใช้บัญชีโรงแรมที่ถูกบุกรุกเพื่อดึงรายละเอียดการจองของลูกค้าที่มีความละเอียดอ่อน
6. 6. **การฉ้อโกงลูกค้า**: ส่งข้อความ WhatsApp ที่น่าเชื่อถือไปยังลูกค้า โดยใช้รายละเอียดการจองที่ถูกขโมยมาและสร้างความเร่งด่วน
7. 7. **การขโมยข้อมูลการชำระเงิน**: ลูกค้าจะถูกนำผ่านหน้า Cloudflare CAPTCHA จากนั้นไปยังหน้าชำระเงินที่ดูเหมือน Booking.com เพื่อรวบรวมข้อมูลการชำระเงินและบัตรเครดิต

Recommendations:

Short Term:

• **สำหรับโรงแรม**: บังคับใช้การยืนยันตัวตนหลายปัจจัย (MFA) สำหรับบัญชีพาร์ทเนอร์ทั้งหมด จำกัดการเข้าถึงพอร์ทัลการจองเฉพาะผู้ที่ได้รับอนุญาตเท่านั้น พิจารณาทุกลิงก์ ‘ร้องเรียน’ หรือสอบถามที่ไม่คาดคิดว่าเป็นความเสี่ยงสูง แม้ว่าจะดูเหมือนมาจากแบรนด์ที่รู้จักก็ตาม
• **สำหรับลูกค้า**: อย่าชำระเงินผ่านลิงก์ที่ได้รับในแอปพลิเคชันแชท ควรยืนยันปัญหาโดยตรงผ่านแอปพลิเคชัน Booking.com อย่างเป็นทางการ หรือโดยใช้วิธีติดต่อโรงแรมที่ได้รับการยืนยัน หากมีการป้อนข้อมูลในหน้าเว็บที่น่าสงสัย ให้เปลี่ยนรหัสผ่านทันที ติดต่อธนาคารของคุณ และสอบถามโรงแรมเพื่อตรวจสอบว่ามีการเข้าถึงบัญชี Booking.com ของคุณหรือไม่

Long Term:

• **สำหรับโรงแรม**: นำกลไกการบันทึกและแจ้งเตือนที่มีประสิทธิภาพมาใช้สำหรับการเข้าสู่ระบบใหม่ การรีเซ็ตรหัสผ่าน และการเปลี่ยนเส้นทางขาออกที่ผิดปกติจากระบบภายใน ทบทวนและอัปเดตตัวกรองอีเมลอย่างสม่ำเสมอเพื่อบล็อกโดเมนที่ดูเหมือนจริงใหม่ๆ และรายงานการพยายามฟิชชิ่งไปยังผู้จดทะเบียนโดเมนเพื่อดำเนินการในกรณีที่มีการละเมิด

Source: https://cybersecuritynews.com/new-phishing-campaign-targets-booking-com-partners-and-customers/