Hack Alerta

Campanha de phishing usa 4.300 domínios falsos para roubar dados de cartões

Por Redação Hack Alerta Publicado em 12/11/2025 16:02 Riscos e Ameaças Tempo de leitura: 5 min

Operação de phishing ativa desde fevereiro de 2025 emprega mais de 4.300 domínios falsos e um kit sofisticado para imitar páginas de reserva; a infraestrutura usa cadeias de redirecionamento, falso CAPTCHA e exfiltração em tempo quase real para capturar dados de cartão.

Uma operação massiva de phishing tem usado milhares de domínios falsos para enganar viajantes e coletar dados de cartão de pagamento em formulários clonados de confirmação de reserva.

Descoberta e escopo

A campanha opera desde fevereiro de 2025 e, segundo análise de infraestrutura, já envolveu mais de 4.300 domínios registrados progressivamente — com um pico de 511 registros em 20 de março de 2025. Os nomes de domínio seguem padrões previsíveis (por exemplo: confirmation, booking, guestverify, cardverify, reservation combinados com números), e várias centenas fazem referência a hotéis específicos, incluindo propriedades de luxo e pequenas redes boutique.

Abordagem técnica e cadeia de redirecionamento

Os atacantes utilizam um kit de phishing sofisticado capaz de adaptar a página exibida ao código presente na URL (identificador interno referido como AD_CODE). Links em e‑mails de “confirmação” redirecionam a vítima por uma cadeia de domínios intermediários — em um caso documentado, de um domínio antigo (registrado em 2016) para uma página em plataforma de blogs gratuita e, por fim, ao site de phishing. Esse encadeamento dificulta o bloqueio direto e a investigação, porque os indicadores finais não aparecem imediatamente no link do e‑mail.

As páginas de destino replicam visualmente sites de grandes marcas de viagem e redes hoteleiras, incluindo logotipos e layout profissional. Há um elemento de “falso CAPTCHA” estilizado com marca de serviço de mitigação (não funcional) para criar confiança. O formulário pede nome do titular, número do cartão, CVV e validade; a página faz validação de Luhn no número do cartão antes de tentar processar transações fraudulentas em segundo plano.

Recursos adicionais do kit incluem suporte para 43 idiomas e um mecanismo que envia as teclas digitadas pelo usuário de volta ao servidor do atacante em tempo quase real (aproximadamente uma amostragem por segundo). Uma janela de “suporte” automatizada tenta induzir o usuário a confirmar notificações SMS do banco, que na prática são alertas reais gerados pelas tentativas de fraude em curso.

Marcas e vetores sociais

As páginas são configuradas para imitar diferentes marcas dependendo do AD_CODE, permitindo que a mesma infraestrutura hospede múltiplas páginas personalizadas para Airbnb, Booking.com, Expedia, Agoda e outras. Os e‑mails usados na campanha pressionam por ação imediata — por exemplo, “confirme em 24 horas para evitar cancelamento” — estratégia clássica de engenharia social para reduzir checagens por parte do usuário.

Distribuição e infraestrutura

Os registros de domínios foram feitos através de diversos registradores. A atuação quase diária de registro e a escolha de domínios aparentes (que incluem termos de reserva e confirmação) ampliam a taxa de sucesso da operação: utilizando nomes plausíveis e páginas intermediárias em serviços legítimos, a campanha escapa com mais facilidade de filtros automatizados.

Impacto e alcance

Os alvos primários são consumidores em momento de compra/viagem — pessoas planejando estadias ou prestes a realizar check‑in — e o objetivo primário é capturar dados de cartão para transações fraudulentas e monetização em mercados de cartão roubado. O número total de vítimas confirmadas não é detalhado nas informações disponíveis, mas o volume de domínios e as características do kit indicam operação em escala global e contínua desde fevereiro de 2025.

Limites das informações

As fontes descrevem o mecanismo, padrões de registro e funcionalidades do kit, mas não apresentam contagens de vítimas confirmadas nem dados sobre quais domínios individuais foram efetivamente usados para fraudes concretas. Também não há divulgação pública de listas completas de domínios que possam ser diretamente bloqueadas por defensores.

Mitigações e recomendações práticas

  • Validar comunicações com fornecedores de viagem diretamente via canais oficiais do serviço (não clicando links em e‑mails não solicitados).
  • Configurar filtros de e‑mail para bloquear domínios com padrões suspeitos e usar detecção de URLs que seguem cadeias longas ou redirecionamentos múltiplos.
  • Educar equipes de suporte e usuários finais sobre falsos CAPTCHAs e janelas de chat automatizadas que solicitam confirmação de SMS.
  • Monitorar transações com alertas de anomalia e exigir autenticação forte antes de permitir alteração de meios de pagamento.

O que observar adiante

Operações que combinam registros massivos de domínios com kits que personalizam aparência por parâmetro na URL tendem a evoluir rapidamente: defensores devem priorizar detecção de padrões de nome de domínio, inspeção de cadeias de redirecionamento e bloqueio de formulários que exfiltram dados de forma incremental. As fontes não detalham atribuição geopolítica confiável ou lista completa de domínios ativos, portanto equipes de segurança devem tratar a ameaça como de alto risco operacional para portais de viagem e provedores de pagamentos.

Baseado em publicação original de Cyber Security News
Tags: #phishing #dominios-falsos #cartoes #viagem #booking #expedia #airbnb #agoda #fraude
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar