ハッカーがホテル予約システムを悪用してゲストに偽りの支払いリクエストを送信

ハッカーはホテル予約ワークフローをターゲットにして、旅行者に支払い詳細を渡させるため、実際の予約データと説得力のあるソーシャルエンジニアリングを組み合わせた技術を使用しています。

メッセージはホテル名、滞在日数、支払いステータスなどの実際の予約詳細を参照しており、合法的に見えます。疑いを招く代わりに、メッセージは日常的な到着前のチェックのように見えます。

これはセキュリティ研究者が「予約ハイジャック詐欺」と呼ぶものです。一般的な誘い文句に頼る従来のフィッシングとは異なり、この攻撃は実際の予約コンテキストを活用して信頼を構築します。

攻撃者は高度なマルウェアや完璧な文法を必要としません。リクエストを信頼できるものに見せるには、正確な情報があれば十分です。

より高度なケースでは、攻撃者は単なるなりすまし以上のことを行います。ホテルスタッフまたはパートナーをフィッシングすることで、予約管理システムなどのホテル業界プラットフォームのログイン認証情報を盗みます。

レポートによると、詐欺はしばしば無邪気に始まります。数日前または数週間前にホテルを予約した旅行者が、ホテルのゲスト関係チームからのものだと主張するWhatsAppまたはSMSメッセージを受け取ります。

これにより、実際の予約、ゲスト連絡先詳細、および時には支払い情報にもアクセスできます。

システムに入ると、攻撃者は合法的なホテルまたは予約プラットフォームアカウント経由でメッセージを直接送信できます。

例えば、被害者は実際のBooking.comの会話スレッドまたはホテルメッセージングシステム内で不正な支払いリクエストを受け取る可能性があります。メッセージが信頼できるチャネルから来ているため、検出が著しく難しくなります。

なりすましから実際のシステム悪用への転換は、脅威を特に危険にしているものです。

詐欺の仕組み

攻撃は通常明確なパターンに従います：

一部のキャンペーンでは、被害者はブランド化されたPDFなどの複数のレイヤーまたはタイポスクワッティングドメイン経由でルーティングされ、信頼性を高め検出を回避します。

研究者はイギリス、フランス、ドイツ、アメリカ、ブラジル、オーストラリア全体で高いアクティビティを観察しています。

詐欺は単一のプラットフォームに限定されていません。代わりに、Booking.comメッセージング、WhatsApp、SMS、メールを含む複数の通信チャネル全体で機能します。

この柔軟性により、攻撃者は迅速に適応し、旅行者が最も応答しやすい場所をターゲットにできます。

従来のフィッシングはコンテキストが不足しているため失敗することがよくあります。対照的に、予約ハイジャック詐欺は実世界の詳細を被害者に反映させます。メッセージに正確な予約情報が含まれている場合、詐欺というより顧客サービスのように感じます。

PDFは48時間以内に「支払い確認」をプッシュし、一般的なブランディング、緊急性、および目立つ行動喚起を使用して被害者を実際の窃盗段階に向かわせます。

攻撃者はまた緊急性を生み出し、通常24時間または48時間以内にアクションを要求し、被害者がリクエストを確認する可能性を減らします。

旅行者にとって、主なリスクは不適切な信頼です。合法的な予約スレッドに表示されるか実際の予約を参照するメッセージでさえ、悪意のあるものである可能性があります。

ユーザーは迷惑メッセージのリンクをクリックすることを避け、代わりに公式アプリまたはウェブサイトを通じてリクエストを確認する必要があります。

ホテルとホテル業界プロバイダーにとって、この脅威はより深い問題を強調しています。運用システムは攻撃サーフェスの一部になったのです。侵害されたスタッフアカウントは合法的な通信チャネルを詐欺のツールに変える可能性があります。

フィッシング耐性認証、スタッフトレーニング、ゲストメッセージングシステムの監視などの基本的な防御が不可欠になっています。

これらがなければ、攻撃者は静かにログインし、信頼されたワークフローを悪用し、従来のセキュリティアラームをトリガーすることなく詐欺をスケーリングできます。

これらの詐欺が進化するにつれ、合法的なサービス通信とサイバー犯罪の間の線はぼやけ続け、予約体験の両側での警戒が重要になります。