Se você reservou um hotel por meio de uma plataforma como Booking.com ou Expedia, tome cuidado com qualquer comunicação que o oriente a confirmar seus dados de pagamento para manter sua reserva. Os agentes de ameaças têm como alvo a indústria hoteleira com uma campanha de phishing concebida para roubar viajantes.
Conforme descrito pela empresa de segurança Sekoia.io e relatado pelo The Hacker News, o esquema é conhecido como “Paguei duas vezes” porque os clientes do hotel acabam sendo enganados e entregando suas informações bancárias. Os golpistas entram em contato com os hóspedes via WhatsApp ou e-mail sobre a reserva, dizendo que precisam verificar o pagamento ou correm o risco de cancelamento. O link leva a uma página de destino falsa que se parece com Booking.com ou Expedia, onde as vítimas são solicitadas a fornecer informações do cartão.
Este não é o primeiro golpe direcionado ao Booking.com: os golpistas já falsificaram o site para espalhar malware diretamente aos usuários por meio de CAPTCHAs falsos e ataques homógrafos, que exploram caracteres semelhantes na URL para redirecionar para um site malicioso.
Na verdade, essa campanha de várias etapas começa quando os hackers atacam os próprios hotéis com ataques ClickFix, um tipo de ataque de engenharia social projetado para induzir os usuários a baixar malware por meio de mensagens de erro falsas ou formulários CAPTCHA. (Eu abordei alguns esquemas ClickFix, como aqueles espalhados por meio de vídeos instrutivos gerados por IA no TikTok e links de convite expirados no Discord.)
O golpe funciona da seguinte forma: os gerentes de hotéis recebem e-mails de contas comprometidas com links de phishing que redirecionam para uma suposta página reCAPTCHA. Este é o componente ClickFix, pois os alvos são instruídos a completar o desafio para “garantir a segurança da sua conexão”. Alguns redirecionamentos levam o usuário a copiar e executar um comando do PowerShell que baixa um Trojan de acesso remoto (como PureRAT) para seu dispositivo.
O que você acha até agora?
Depois que o malware é entregue, ele permite acesso remoto aos agentes de ameaças, incluindo controle de mouse e teclado, exfiltração de dados, execução de comandos, uploads e downloads de arquivos, keylogging e captura de webcam e microfone. Os hackers conseguem então roubar credenciais de administrador para obter acesso a plataformas de reserva e enviar os e-mails de phishing mencionados acima aos hóspedes do hotel – ou podem vender as informações a outros cibercriminosos.
Não caia no golpe de reserva de hotel
Você não pode controlar se um gerente de hotel cede involuntariamente o acesso às suas informações de reserva. Mas você pode evitar comprometer ainda mais seus dados pessoais e financeiros mantendo-se atento a qualquer comunicação inesperada sobre sua reserva. Um hotel respeitável provavelmente não entrará em contato com você por meio de uma plataforma de reservas (nem a própria plataforma) para exigir o pagamento pela manutenção de uma reserva que você já confirmou.
Esse senso de urgência tem como objetivo induzi-lo a agir rapidamente; portanto, se você não tiver certeza do que está acontecendo, ligue diretamente para o hotel usando o número do site oficial (não do e-mail ou mensagem do WhatsApp). Não clique em nenhum link e não insira nenhuma informação, a menos que tenha confirmado que está em uma plataforma de reservas ou site de hotel legítimo.
