Hotels en andere accommodaties zijn het doelwit van een phishingaanval die van Booking.com afkomstig lijkt, zo waarschuwt Microsoft vandaag. De aanvallers proberen het doelwit uiteindelijk malafide PowerShell-commando's te laten uitvoeren die malware op het systeem installeren. De malware probeert vervolgens allerlei wachtwoorden en andere inloggegevens van het systeem te stelen.

De phishingmails doen zich voor als berichten van Booking.com en stellen bijvoorbeeld dat er negatieve recensies over het hotel zijn achtergelaten of dat de ontvanger zijn Booking.com-account moet verifiëren. Het bericht bevat een link, of een pdf-document met link, die naar een zogenaamde Booking.com-pagina wijst. De pagina bevat een geblurde versie van Booking.com en stelt dat er eerst een captcha moet worden opgelost.

De instructies voor het oplossen van de 'captcha' zorgen ervoor dat het slachtoffer een PowerShell-commando uitvoert waarmee infostealer-malware op het systeem wordt geïnstalleerd. Deze malware is speciaal ontwikkeld om allerlei inloggegevens van het systeem te stelen. Microsoft adviseert organisaties die dergelijke berichten ontvangen om direct contact met de serviceprovider op te nemen. Ook wordt aangeraden om het e-mailadres van de afzender te controleren, de daadwerkelijke bestemming van links te checken en op typo's te letten.

Vorige maand meldde de Fraudehelpdesk dat het vorig jaar meer meldingen van fraude via Booking.com heeft ontvangen dan het jaar daarvoor. Slachtoffers ontvangen via Booking.com berichten die afkomstig zijn van de gecompromitteerde accounts van hotels en andere verblijven. Aanvallers weten eerst de de systemen van hotels met malware te infecteren en kunnen zo de inloggegevens voor het account op Booking.com stelen. Vervolgens sturen de aanvallers vanuit het Booking.com-account van het hotel phishingberichten naar gasten dat ze hun gegevens opnieuw moeten bevestigen. In werkelijkheid wordt geprobeerd om creditcardgegevens en andere data te stelen.