Plănuiești o vacanță de vară? Mergi la un weekend de Formula 1? Te pregătești pentru concediul mult așteptat în străinătate?

Ai grijă atunci când primești pe WhatsApp un mesaj care pare să vină de la hotel și îți cere să îți „verifici” rezervarea.

Cercetătorii Bitdefender Labs monitorizează o campanie de phishing aflată în desfășurare, în care infractorii cibernetici se dau drept hoteluri, resorturi și alte unități de cazare din peste 10 țări. Spre deosebire de escrocheriile clasice din domeniul turismului, care se bazează pe e-mailuri de phishing generice, această operațiune folosește informații reale despre rezervări, mesaje adaptate fiecărei țări și elemente vizuale convingătoare pentru a determina turiștii să își divulge datele cardului bancar.

Escrocheriile în care sunt imitate hoteluri nu sunt o noutate, însă cercetătorii monitorizează această operațiune bazată pe WhatsApp încă din martie 2026. De atunci, campania a evoluat constant, fiind identificate noi domenii malițioase, noi hoteluri imitate, noi limbi și noi țări vizate.

Cel mai îngrijorător aspect este că victimele nu primesc simple mesaje spam trimise la întâmplare. Informațiile incluse sugerează că atacatorii ar putea avea acces la detalii despre rezervări pe care, în mod normal, doar hotelul, agenția de turism sau platforma de rezervări ar trebui să le cunoască.

Idei principale

• Cercetătorii Bitdefender Labs au identificat o campanie de phishing pe WhatsApp, disponibilă în mai multe limbi, care vizează călători din peste 10 țări.
• Atacatorii se dau drept hoteluri, resorturi și alți furnizori de cazare folosind informații reale despre rezervări.
• Campania a fost observată în limba engleză, germană, franceză, spaniolă, română și poloneză.
• Victimele primesc mesaje personalizate care includ numele lor, perioada sejurului, detalii despre rezervare și avertismente privind anularea acesteia.
• Cercetătorii au identificat cel puțin șase campanii active și opt branduri din industria hotelieră impersonate
• Campania utilizează exclusiv WhatsApp. Nu au fost observate infrastructuri similare prin e-mail sau SMS.
• Vacanțele de vară, weekendurile de Formula 1, concertele și alte evenimente cu trafic intens de turiști creează condițiile ideale pentru astfel de fraude.

O operațiune globală de phishing care vizează industria hotelieră

Nu este vorba despre o înșelătorie locală care vizează un singur lanț hotelier sau o anumită țară.

Cercetătorul Alecsandru Daj a identificat activitate în Regatul Unit, Germania, Polonia, Franța, România, Țările de Jos, Canada, Singapore, Portugalia și Columbia.

Operațiunea demonstrează, de asemenea, o capacitate extinsă de localizare. Paginile de phishing și mesajele au fost observate în engleză, germană, franceză, spaniolă, română și poloneză, ceea ce le permite infractorilor să adapteze comunicarea în funcție de limba victimei și destinația călătoriei.

Cercetătorii au identificat cel puțin șase campanii active și o listă în continuă creștere de branduri din industria ospitalității imitate, printre care:

• Ramada by Wyndham
• SENSEA Retreat
• Hotel Leon D'Oro
• Rihga Hotel Zest Takamatsu
• Aminess Style Camping Avalona
• Hôtel & Spa Le Maury
• Impressive Playa Granada Golf

Brandurile menționate mai sus sunt companii legitime, ale căror identități au fost folosite abuziv de infractori cibernetici. Aceste organizații sunt victime ale furtului de identitate de brand și nu reprezintă sursa incidentului de securitate. Bitdefender nu deține dovezi că vreuna dintre aceste companii ar fi fost compromisă sau implicată în activitatea frauduloasă.

Diversitatea geografică sugerează că atacatorii urmăresc turiști oriunde reușesc să obțină date despre rezervări, fără să se concentreze asupra unei anumite destinații.

Cum ajung datele despre rezervări să fie folosite în fraude

Această campanie scoate în evidență o problemă tot mai mare în industria turismului: informațiile despre rezervări au devenit o resursă extrem de valoroasă pentru infractorii cibernetici.

Îngrijorarea nu este nouă. De ani de zile, infractorii cibernetici atacă hoteluri, agenții de turism și platforme de rezervări deoarece accesul la aceste informații le permite să creeze escrocherii mult mai convingătoare decât tentativele obișnuite de phishing.

Ceea ce s-a schimbat este cantitatea de date despre călătorii la care infractorii pot avea acces.

Incidente recente din industria ospitalității au demonstrat că sistemele de rezervări compromise, acreditările furate și informațiile despre rezervări expuse pot oferi atacatorilor toate detaliile necesare pentru a crea fraude extrem de credibile. În loc să trimită mesaje generice de phishing, aceștia pot face referire la planuri reale de călătorie, numele hotelului, codul rezervării și perioada sejurului.

Bitdefender Labs a atras atenția asupra acestui risc încă din 2025, când cercetătorii au descoperit o campanie Agent Tesla care viza partenerii Booking.com prin reclamații false din partea oaspeților și mesaje legate de rezervări. Scopul era compromiterea hotelurilor și a furnizorilor de cazare, furtul acreditărilor și obținerea accesului la sistemele care conțin informații despre oaspeți și rezervări.

Cum folosesc infractorii informațiile despre rezervări

Cercetătorii au observat că atacatorii imitau comunicări Booking.com și încercau să infecteze angajații din industria ospitalității cu programe malware special concepute pentru furtul acreditărilor. Odată compromise conturile hotelurilor sau sistemele partenerilor, infractorii pot obține acces la informații despre rezervările clienților, datele călătoriei, numerele rezervărilor și datele de contact.

Mai recent, Booking.com a dezvăluit un incident de securitate care a implicat acces neautorizat la informații despre rezervările oaspeților. Potrivit companiei, datele expuse ar fi putut include numele clienților, adresele de e-mail, numerele de telefon, adresele fizice, detalii despre rezervări și conversațiile dintre oaspeți și unitățile de cazare.

În plus, acreditările furate pentru portalurile de administrare ale hotelurilor și platformelor de rezervări sunt tranzacționate frecvent pe forumurile infracționale. După ce obțin acces la contul unui hotel, atacatorii profită de încrederea pe care turiștii o au în comunicările legitime privind călătoriile. Dacă un infractor știe unde vei fi cazat, când călătorești și cum poate lua legătura cu tine, nici măcar nu are nevoie de datele cardului tău. Este suficient să se dea drept hotel și să te convingă să i le oferi.

În prezent nu există dovezi care să lege direct această campanie de pe WhatsApp de o anumită breșă de securitate sau de un incident specific al unei platforme de rezervări. Totuși, operațiunea demonstrează cât de ușor pot fi transformate informațiile despre rezervări într-o armă puternică de inginerie socială, chiar și la mult timp după compromiterea inițială a datelor.

Cum funcționează atacul

Campania urmează același tipar în toate cazurile analizate.

Mai întâi, atacatorii obțin informații despre oaspeți, inclusiv numele și perioada călătoriei. Cercetătorii cred că aceste date pot proveni din sisteme de rezervări compromise, baze de date expuse, furt de acreditări, abuzuri ale conturilor partenerilor sau alte surse din industria turismului.

Ulterior, victimele primesc un mesaj pe WhatsApp care pare să provină de la personalul hotelului sau de la departamentul de rezervări.

Mesajele sunt construite cu grijă și combină sentimentul de urgență cu unul de încredere.

De regulă, turiștii sunt informați că:

• rezervarea lor trebuie verificată;
• nu va fi retrasă nicio sumă de bani;
• este posibil să fie aplicată doar o autorizare temporară pe card;
• dacă nu finalizează verificarea în următoarele 24 de ore, rezervarea poate fi anulată.

Victima este apoi direcționată către un site de phishing care imită foarte bine o platformă legitimă de rezervări.

Cercetătorii au identificat mai multe familii de domenii utilizate în atacuri, inclusiv:

• pre-registation-booking[.]com
• pre-registration[.]info
• hotelroom-stay[.]com
• authstep-booking[.]com
• approve-reservation[.]com

Un indiciu interesant este greșeala de ortografie repetată „registation” în loc de „registration”, prezentă în mai multe dintre domeniile folosite în infrastructura atacului.

Odată ajunși pe pagina falsă, utilizatorii sunt invitați să își „verifice” cardul bancar.

În realitate, datele introduse sunt colectate și folosite ulterior în fraude.

O singură grupare sau mai multe campanii independente?

Deși cercetătorii au identificat șase campanii distincte, dovezile tehnice indică faptul că acestea sunt, cel mai probabil, coordonate de aceeași grupare de infractori sau de grupuri care folosesc aceeași infrastructură.

Indiferent de țară, brand sau domeniu folosit, campaniile prezintă aceleași caracteristici:

• aceeași metodă bazată pe o „autorizare temporară” a plății;
• același termen limită de 24 de ore înainte de anularea rezervării;
• structuri foarte asemănătoare ale adreselor URL;
• același flux de phishing;
• distribuirea exclusiv prin WhatsApp;
• utilizarea unor identități false de angajați ai hotelurilor.

Cercetătorii au observat, de asemenea, generarea automată de domenii noi, schimbarea rapidă a infrastructurii și emiterea unor certificate TLS cu doar câteva zile înainte ca domeniile să devină active.

Toate aceste elemente indică existența unei operațiuni bine organizate și coordonate, nu a unor tentative izolate sau a unor imitatori.

De ce sunt turiștii mai vulnerabili vara

Momentul ales pentru desfășurarea campaniei pare departe de a fi întâmplător.

Vara este una dintre cele mai aglomerate perioade pentru călătorii. Milioane de oameni rezervă hoteluri, își verifică itinerariile, organizează transportul și urmăresc actualizările legate de vacanță.

În acest context, este firesc ca turiștii să se aștepte să primească mesaje de la hoteluri sau platformele de rezervări. Din acest motiv, o solicitare privind verificarea rezervării pare mult mai credibilă.

Spre deosebire de e-mailurile clasice de phishing despre facturi neplătite sau activități suspecte în cont, un mesaj referitor la o vacanță viitoare apare exact într-un moment în care utilizatorul se așteaptă la astfel de comunicări.

Iar atunci când mesajul conține informații reale despre rezervare, probabilitatea ca victima să îl considere autentic crește considerabil.

Weekendurile de Formula 1 creează, de asemenea, oportunități ideale pentru escroci

Deși cercetătorii nu au observat până acum ca această campanie să vizeze în mod direct evenimentele de Formula 1, marile curse, concertele și alte competiții sportive creează condiții ideale pentru escrocheriile bazate pe rezervări hoteliere.

Formula 1 atrage sute de mii de spectatori în fiecare sezon. Mulți fani își rezervă cazarea cu luni înainte, mai ales pentru curse desfășurate în destinații precum Monaco, Silverstone, Spa-Francorchamps, Budapesta, Monza, Singapore sau Zandvoort.

Hotelurile din apropierea circuitelor sunt adesea ocupate complet cu mult înainte de weekendul cursei.

Pe măsură ce se apropie data plecării, mulți călători urmăresc cu atenție mesajele legate de rezervare, procedurile de check-in, confirmările de plată sau eventualele modificări ale itinerariului. Acesta este momentul perfect pentru ca escrocii să intervină.

Imaginează-ți că primești pe WhatsApp un mesaj cu câteva zile înainte să ajungi la Monaco sau Silverstone, în care ești informat că rezervarea trebuie verificată urgent pentru a evita anularea.

Mesajul conține numele tău, hotelul la care vei fi cazat, perioada sejurului și un avertisment că rezervarea va fi anulată în următoarele 24 de ore dacă nu finalizezi verificarea.

Teama de a pierde cazarea într-un oraș unde toate hotelurile sunt deja ocupate îi poate determina chiar și pe cei mai precauți turiști să reacționeze înainte de a analiza cu atenție mesajul.

Amploarea internațională a campaniei este deosebit de relevantă în acest context. Printre țările afectate se numără Regatul Unit, Germania, Franța, Țările de Jos, Canada și Singapore, toate fiind destinații cu un public numeros de Formula 1 sau cu un volum ridicat de călătorii asociate competiției.

Aceeași metodă poate fi adaptată cu ușurință și pentru concerte, festivaluri, competiții sportive, conferințe sau orice alt eveniment unde cazarea este greu de găsit sau foarte costisitoare cu puțin timp înainte.

Orice rezervare poate deveni o armă în mâinile atacatorilor

Cercetătorii au identificat mai multe branduri din industria hotelieră folosite abuziv în această campanie, însă operatorii nu par să fie interesați de un anumit lanț hotelier. În schimb, aleg hotelurile în funcție de datele despre rezervări pe care reușesc să le obțină.

Cu alte cuvinte, rezervarea legitimă a utilizatorului devine principalul instrument folosit în fraudele analizate. Astfel, orice hotel, resort, camping, proprietate închiriată în regim hotelier sau alt furnizor de cazare poate fi impersonat dacă atacatorii obțin acces la informațiile despre rezervările oaspeților.

Cum te protejezi de escrocheriile legate de rezervările hoteliere

Pe măsură ce fraudele devin tot mai personalizate, nu mai este suficient să eviți doar e-mailurile suspecte. Infractorii folosesc tot mai des informații reale despre rezervări, branduri cunoscute și platforme precum WhatsApp pentru ca mesajele lor să pară autentice.

Verifică întotdeauna solicitările privind rezervarea prin canale oficiale

Dacă primești un mesaj care susține că rezervarea ta trebuie verificată, nu accesa linkul din mesaj.

Contactează hotelul folosind numărul de telefon publicat pe site-ul oficial sau verifică rezervarea direct din platforma prin care ai făcut-o. Hotelurile legitime nu solicită verificarea cardului bancar prin linkuri primite nesolicitat pe WhatsApp.

Poți, de asemenea, să te autentifici direct în platforma pe care ai folosit-o pentru rezervare, cum ar fi Booking.com, Expedia, Airbnb sau site-ul oficial al hotelului.

Dacă există într-adevăr o problemă cu rezervarea ta, aceasta va apărea, de regulă, și în contul tău.

Raportează mesajele suspecte

Dacă primești un mesaj fraudulos privind o rezervare:

• raportează expeditorul direct în WhatsApp;
• blochează numărul;
• anunță hotelul sau platforma de rezervări a cărei identitate este folosită abuziv;
• raportează tentativa de phishing autorităților competente sau organizațiilor pentru protecția consumatorilor din țara ta.

Verifică linkurile înainte de a le accesa

Escrocii înregistrează frecvent domenii care seamănă foarte bine cu site-urile oficiale ale hotelurilor sau platformelor de rezervări.

Înainte de a deschide un link necunoscut, verifică-l cu Bitdefender Link Checker, care poate identifica site-uri malițioase și tentative de phishing.

Folosește instrumente bazate pe inteligență artificială pentru detectarea fraudelor

Dacă nu ești sigur că un mesaj privind rezervarea este autentic, Bitdefender Scamio te poate ajuta să analizezi mesaje, capturi de ecran, linkuri, e-mailuri sau conversații și să identifici semnele unei posibile înșelătorii.

Acest lucru este deosebit de util în cazul fraudelor personalizate, care folosesc nume reale, perioade de călătorie și informații despre rezervări.

Protejează-te înainte și în timpul călătoriei

În timpul călătoriilor, utilizatorii se conectează adesea la rețele Wi-Fi din hoteluri, aeroporturi sau alte spații publice pentru a accesa rezervările și conturile bancare.

O soluție completă precum Bitdefender Ultimate Security combină protecția împotriva fraudelor, tehnologiile avansate anti-phishing, VPN-ul, blocarea site-urilor periculoase, protecția împotriva programelor malware, monitorizarea identității digitale și alertele privind breșele de securitate într-un singur abonament.

Indiferent dacă îți rezervi vacanța de acasă, verifici rezervarea din aeroport sau te conectezi la internet din destinația de vacanță, o protecție pe mai multe niveluri îți reduce semnificativ riscul de a deveni victima unei fraude.

Monitorizează-ți identitatea digitală

Una dintre cele mai îngrijorătoare concluzii ale acestei campanii este faptul că atacatorii par să folosească informații reale despre oaspeți.

Serviciile de monitorizare a identității digitale te pot alerta atunci când datele tale personale apar într-o breșă de securitate cunoscută, oferindu-ți posibilitatea să îți securizezi conturile înainte ca infractorii să profite de aceste informații.

Acționează imediat dacă ai introdus datele cardului

Dacă ai completat datele cardului pe un site suspect:

• contactează imediat banca;
• solicită blocarea și înlocuirea cardului;
• monitorizează conturile pentru tranzacții neautorizate;
• schimbă parolele asociate conturilor de călătorii și rezervări;
• fii atent la eventuale noi tentative de phishing care pot folosi informațiile deja compromise.

Această cercetare este publicată exclusiv în scop educativ și pentru creșterea gradului de conștientizare. Toate mărcile comerciale menționate în acest articol aparțin deținătorilor lor de drept și sunt utilizate exclusiv în scop de identificare. Indicatorii tehnici prezentați sunt destinați profesioniștilor din domeniul securității și nu ar trebui accesați sau utilizați de publicul larg. Bitdefender încurajează utilizarea responsabilă a acestor informații.