هجمات سيبرانية

حملة تصيد إلكتروني تستهدف Booking.com تحت شعار “دفعت مرتين”

هجوم منظم يخترق أنظمة الفنادق ويستغل حسابات الشركاء لسرقة بيانات النزلاء

تم النشر في Nov. 07, 2025

حملة تصيد إلكتروني تستهدف Booking.com تحت شعار “دفعت مرتين” — باحثو Sekoia.io يكشفون حملة تصيد متطورة تستغل حسابات شركاء

كشف باحثون في شركة Sekoia.io عن حملة تصيد إلكتروني واسعة النطاق استهدفت حسابات شركاء منصة Booking.com، بعد أن نجح المهاجمون في اختراق أنظمة عدد من الفنادق وسرقة بيانات العملاء عبر برمجية خبيثة متقدمة تعمل منذ أبريل 2025 على الأقل.

وأوضح التقرير أن الهجوم بدأ برسائل إلكترونية خبيثة أرسلها المهاجمون من حسابات فنادق حقيقية أو منتحلة لهوية Booking.com. تضمنت الرسائل روابط تقود المستخدمين عبر سلسلة إعادة توجيه قبل تنفيذ أسلوب خداع اجتماعي يعرف باسم ClickFix، حيث يطلب من الضحايا تشغيل أمر PowerShell يؤدي إلى تحميل برمجية خبيثة تدعى PureRAT.

تتيح هذه البرمجية للمهاجمين التحكم الكامل بالأجهزة المصابة عن بعد، وسرقة بيانات الدخول، والتقاط صور للشاشات، وسحب معلومات حساسة من الأنظمة. وتتميز بتصميمها القابل للتوسعة عبر مكونات إضافية تزيد قدراتها التخريبية.

سرقة بيانات الفنادق وبطاقات العملاء

تشير التحليلات إلى أن المرحلة الأولى من الهجوم استهدفت موظفي الفنادق بغرض سرقة بيانات الدخول إلى منصات الحجز مثل Booking.com وAirbnb وExpedia. ثم باع المهاجمون هذه البيانات في منتديات الجريمة الإلكترونية أو استغلوها مباشرة في عمليات احتيال مالي.

وبعد حصول المهاجمين على بيانات الدخول الأصلية، بدأوا بالتواصل مع النزلاء عبر البريد الإلكتروني أو تطبيق WhatsApp مدعين وجود مشكلة في التحقق المصرفي. واحتوت الرسائل على تفاصيل حقيقية للحجوزات ما زاد من مصداقيتها، ووجهوا الضحايا إلى صفحات مزيفة تحاكي موقع Booking.com بهدف جمع معلومات الدفع.

واستضاف القراصنة هذه الصفحات على خوادم محمية بخدمات Cloudflare، ومتصلة ببنية تحتية روسية، ما منحها مظهراً شرعياً يصعب كشفه.

سوق سوداء لبيانات Booking.com

رصد محللو Sekoia.io نشاطاً متزايداً في المنتديات الناطقة بالروسية لتداول بيانات دخول حسابات Booking.com، سواء على شكل ملفات تعريف ارتباط أو أزواج اسم مستخدم وكلمة مرور، بأسعار تراوحت بين 5 و5000 دولار للحساب الواحد بحسب أهميته.

وأشار التقرير إلى أن أحد المستخدمين ويدعى moderator_booking زعم تحقيق أرباح تجاوزت 20 مليون دولار من بيع هذه البيانات، مضيفاً أن المهاجمين وسعوا عملياتهم مؤخراً لتشمل حسابات Agoda.

حملة منظمة ومربحة

أوضحت Sekoia.io أن هذه العملية تعكس مستوى متقدماً من التنظيم والاحتراف في استهداف قطاع الضيافة عالمياً. وأضافت الشركة: “نؤكد بدرجة عالية من الثقة أن أحد العملاء المتضررين دفع مرتين مقابل حجزه؛ مرة للفندق ومرة للمهاجمين”.

وبين التقرير أن البنية التحتية التابعة للحملة تضم مئات النطاقات الخبيثة التي ظلت نشطة على مدى أشهر حتى أكتوبر 2025، ما يشير إلى استدامة عملياتها وربحيتها العالية.

وأكدت Sekoia.io استمرارها في مراقبة البنية التحتية للمهاجمين وتطوير وسائل الكشف لتعزيز حماية منصات الحجز الرقمي وعملائها حول العالم.