2026 elején újra aktív egy adathalász kampány, amely a Booking[.]com partnerökoszisztémáját használja. A támadók első körben szállodai partnerfiókokat kompromittálnak, majd a megszerzett foglalási adatok felhasználásával közvetlenül a vendégeket célozzák, elsősorban WhatsApp alapú social engineeringgel.
A támadási lánc első lépése célzott e-mail kampány, amely Gmail fiókokról indul. Ezek a címek gyakran 7–11 darab kisbetűből és 2–3 számjegyből állnak, ami automatizált címgenerálásra utal. Az e-mailekben szereplő linkek gyakran legitimnek tűnő paramétereket használnak, például complaint?op_token= formátumot. A partnerfiók kompromittálása után a támadók valós foglalási adatokat gyűjtenek, majd WhatsApp üzeneteket küldenek a vendégeknek.Az üzenetekben szereplő konkrét foglalási azonosítók és dátumok feltüntetése hitelességet kölcsönöz az üzeneteknek, ezáltal fokozva a social engineering hatását.. Jellemző minta a rövid határidős fizetési felszólítás, (tipikusan 24 órás deadline) ami csalási kampányokra jellemző pszichológiai nyomásgyakorlási technika.
A kampányban megfigyelt domainnevek jellegzetessége a typosquatting és combosquatting. A támadók gyakran áthelyeznek karaktereket, például „portal” helyett „poratl” formát használnak, illetve erősen kötőjelezett domainstruktúrát alkalmaznak. A támadók vizuálisan azonos, de technikailag eltérő karaktereket használnak, például cirill „о” betűt a latin „o” helyett a „booking” szóban. Ehhez kapcsolódik a subdomain manipuláció is, például amikor a „booking” szó „booklng” formában jelenik meg, ahol az „i” helyére „l” kerül.
A támadói infrastruktúra fejlett forgalomszűrést alkalmaz. A root domain szinten végzett fingerprinting arra szolgál, hogy kiszűrjék a sandboxokat, biztonsági kutatókat és automatizált elemző rendszereket. A nem célzott látogatók számára a rendszer ártalmatlan decoy weboldalakat jelenít meg, például fiktív takarítócégek oldalait.
Az Ajax alapú automatikus adatkitöltés arra utal, hogy a támadók már rendelkeznek előzetesen megszerzett foglalási adatokkal. A Cloudflare CAPTCHA használata azt jelzi, hogy a támadók botvédelemmel próbálják védeni saját infrastruktúrájukat az automatikus elemzéstől. A vendégoldalak URL struktúrájában gyakran megjelenik egy nyolc karakteres alfanumerikus token. Ez kampányszintű tracking mechanizmusra utal, és logelemzés során clusterelhető indikátort jelenthet.
A jelenlegi aktivitást BR-UNC-030 jelöléssel követik, és legalább 2026 januárja óta folyamatos. A kampány jól mutatja a supply chain jellegű adathalász támadások evolúcióját, ahol a cél már nem közvetlenül a végfelhasználó, hanem a szolgáltatói ökoszisztéma kompromittálása, amelyen keresztül nagyságrendekkel nagyobb áldozati kör érhető el.