Booking.com Diincar! Hati-hati Wisatawan Terjebak Phishing

Sebuah laporan terbaru dari OSINTMATTER telah menguraikan kampanye phishing yang canggih yang menargetkan Booking.com, platform reservasi perjalanan online terkemuka. Serangan ini melibatkan pendekatan multi-fase, dimulai dengan kompromi akun manajer hotel dan berakhir pada penipuan langsung terhadap pelanggan hotel melalui aplikasi Booking.com.

Fase pertama mencakup kompromi akun manajer hotel Booking.com, yang memungkinkan penyerang menyusup ke dalam sistem yang mengelola reservasi dan transaksi pelanggan. Setelah berhasil masuk, fase kedua menipu tamu hotel melalui aplikasi Booking.com resmi. Pendekatan ganda ini telah menjadikan penipuan ini salah satu yang paling berhasil di dunia kejahatan siber, dengan konsekuensi yang menghancurkan baik bagi industri maupun konsumennya. 

Di balik operasi ini terdapat sebuah domain yang dirancang dengan cermat, “extranet-booking.com,” yang dibuat untuk meniru subdomain sah “extranet-booking.com” yang digunakan oleh manajer hotel di Booking.com. Dengan sedikit memodifikasi nama domain, para penyerang berhasil menipu bahkan pengguna yang paling waspada, mengarahkan mereka ke portal palsu yang mencerminkan antarmuka Booking.com yang asli.

Portal penipuan ini dirancang secara teliti untuk mengumpulkan informasi sensitif, termasuk kredensial login, data pribadi, dan rincian keuangan. Untuk menarik korban ke portal ini, para penyerang menggunakan beragam taktik, mulai dari email yang dipalsukan secara tradisional hingga teknik pemrograman SEO yang canggih, yang memanipulasi hasil mesin pencari untuk membuat situs berbahaya terlihat sah.

Salah satu fitur utama dari situs phishing ini adalah penggunaan obfuscation JavaScriptsebuah teknik yang digunakan untuk menyamarkan kode berbahaya dan menghindari deteksi oleh alat keamanan. Kebingungan yang melibatkan pengkodean string tertentu menggunakan parseInt, membuat kode tersebut sulit untuk dijelaskan. String ini, saat didekode, mengungkapkan kata “загружено” dimuat dalam skrip Cyrillic, yang menandakan kemungkinan keterkaitan dengan wilayah berbahasa Rusia.

Analisis lebih lanjut terhadap file JavaScript yang dieksekusi oleh “extraknet-booking.com” mengungkapkan hubungan dengan puluhan situs berbahaya lainnya, semuanya terkait dengan malware Ninja Trojan. Malware ini dikenal karena kemampuannya yang memungkinkan beberapa operator secara bersamaan mengendalikan sistem yang telah dikompromikan, menjadikannya alat yang ampuh dalam persenjataan jahat siber.

Elemen kritis lainnya yang terungkap dalam kampanye phishing ini adalah pengidentifikasian 238 permintaan binding Session Traversal Utilities for NAT (STUN) ke berbagai domain yang terkait dengan layanan VoIP WebRTC terbuka. Sementara permintaan STUN umumnya digunakan dalam aplikasi yang sah seperti panggilan VoIP, volume tidak biasa dan penggunaan port yang tidak standar yang diamati di sini menunjukkan kemungkinan niat jahat, seperti eksfiltrasi data atau mempertahankan komunikasi tersembunyi dengan sistem yang telah dikompromikan.

Salah satu server STUN yang dihubungi, “stun.usfamily.net,” telah diberi tanda sebagai yang telah dikompromikan, semakin meningkatkan kualitas tentang aktivitas para penyerang. Penggunaan STUN dalam konteks ini sejalan dengan temuan dari penelitian sebelumnya, yang menyoroti bagaimana penyerang mengeksploitasi protokol baru dan menyembunyikan lalu lintas berbahaya di dalam layanan yang sah.

Situs phishing ini juga menggunakan teknik cloaking dinamis, sebuah metode canggih yang memungkinkan situs menyajikan konten yang berbeda berdasarkan profil pengguna. Bergantung pada faktor-faktor seperti alamat IP, pengaturan browser, atau data identifikasi lainnya, situs dapat menampilkan portal palsu yang berbahaya, halaman Booking.com yang asli, atau bahkan halaman kesalahan untuk menghindari deteksi oleh peneliti keamanan.

Mekanisme penyelubungan ini secara efektif melindungi operasi phishing dari pengawasan, menjadikannya sulit bagi penyelidik untuk mengungkap sejauh mana penipuan ini. Uji coba yang dilakukan pada konfigurasi mesin virtual yang berbeda menunjukkan bagaimana situs dapat memberikan respon yang bervariasi, mulai dari timeout hingga akses penuh ke portal phishing, berdasarkan kondisi yang terpenuhi.

Selama penemuan, penemuan penting membuat halaman phishing tersebut mengandung iFrame yang terhubung ke “httxx://ls.cdn-gw-dv[.]vip/+dedge/zd/zd-service[.],” sebuah pusat utama yang menghubungkan Ratusan situs phishing lainnya yang menargetkan Booking.com dan platform serupa. iFrame ini berfungsi sebagai alat yang kuat bagi para penyerang, memungkinkan mereka untuk memusatkan kontrol, memperluas jangkauan penipuan mereka, dan mengumpulkan analitik berharga tentang efektivitas berbagai halaman phishing mereka.

Serangan ini menggarisbawahi semakin kompleksnya sifat kampanye phishing dan kebutuhan mendesak akan kewaspadaan yang lebih tinggi dalam perjalanan industri. Baik bisnis maupun individu harus berhati-hati saat berinteraksi dengan email dan tautan, terutama yang terkait dengan Booking.com atau platform perjalanan lainnya. Sangat penting untuk secara independen memverifikasi legitimasi situs mana pun sebelum memasukkan informasi sensitif.