Credit image: Freepix
Skema Phising Canggih Targetkan Hotel dan Pelanggan – Para peneliti keamanan siber telah menyoroti adanya operasi phising besar-besaran yang menargetkan industri perhotelan.
Serangan ini sangat terorganisir, menggunakan taktik rekayasa sosial (social engineering) yang rumit untuk mencuri kredensial manajer hotel dan data kartu kredit pelanggan.
Modus operandi utama penyerang adalah menyamar sebagai platform booking populer seperti Booking.com dan Expedia.
Tujuan akhirnya adalah mendapatkan akses tidak sah ke akun administrator hotel, yang kemudian digunakan untuk menipu pelanggan.
|
Baca juga: Jebakan Email Makin Canggih Berkat AI |
1. Menyerang Manajer Hotel dengan Taktik “ClickFix”
Operasi ini telah aktif sejak April 2025 dan teramati beroperasi hingga awal Oktober 2025.
Taktik Spear-Phising Canggih
- Penyerang menggunakan akun email yang telah disusupi untuk mengirim pesan berbahaya ke banyak hotel di berbagai negara. Email ini menyamar sebagai komunikasi mendesak dari Booking.com.
- Korban diarahkan untuk mengklik tautan palsu yang memicu rantai pengalihan ke halaman yang menggunakan taktik rekayasa sosial yang disebut ClickFix. Halaman ini menampilkan tantangan reCAPTCHA palsu untuk “memastikan keamanan koneksi Anda.”
Infeksi Malware (PureRAT)
Tujuan akhir dari jebakan ClickFix adalah membuat korban secara tidak sadar menginstal malware berbahaya bernama PureRAT (dikenal juga sebagai zgRAT):
- Halaman palsu ClickFix pada akhirnya menipu korban untuk menyalin dan menjalankan perintah PowerShell berbahaya.
- Perintah ini mengunduh dan menginstal PureRAT. Malware modular ini berfungsi sebagai Remote Access Trojan (RAT), memungkinkan penyerang untuk mengambil alih kontrol penuh atas sistem hotel, mencuri kredensial, melakukan keylogging, mengaktifkan webcam, hingga mengunduh dan mengunggah file.
Data kredensial yang dicuri dari sistem manajer hotel (akses ke extranet Booking.com atau Expedia) kemudian dijual di forum kejahatan siber atau digunakan untuk melanjutkan penipuan ke fase berikutnya.
|
Baca juga: Jebakan Tanda Tangan Phising Docusign |
2. Menipu Pelanggan Hotel
Setelah penyerang mendapatkan akses ke akun administrator hotel yang sah, mereka melancarkan serangan terhadap pelanggan yang telah melakukan reservasi.
Taktik Penipuan Pelanggan
Penyerang menggunakan data reservasi yang sah (yang mereka curi dari extranet hotel) untuk menghubungi pelanggan melalui WhatsApp atau email dengan skenario darurat:
- Pelanggan diinformasikan bahwa pemesanan mereka berisiko dibatalkan karena masalah verifikasi kartu perbankan.
- Pelanggan diinstruksikan untuk mengklik tautan (yang muncul seolah-olah berasal dari Booking.com atau Expedia) untuk “memverifikasi” dan mengonfirmasi detail kartu bank mereka.
- Tautan tersebut membawa korban ke halaman pendaratan palsu yang meniru antarmuka Booking.com atau Expedia, yang dirancang khusus untuk mencuri informasi kartu kredit (nomor kartu, tanggal kedaluwarsa, CVV).
3. Ekosistem Kriminal yang Profesional
Operasi ini mencerminkan profesionalisme tinggi dalam kejahatan siber (“as-a-service” model):
- Pembelian Akses: Penyerang membeli informasi tentang administrator hotel dari forum kriminal seperti LolzTeam. Mereka bahkan rela membayar berdasarkan persentase keuntungan yang didapat.
- Outsourcing Tugas (Traffers): Tugas distribusi malware (infeksi awal ke sistem hotel) diserahkan kepada spesialis yang disebut traffers.
- Perdagangan Data Akun: Data yang dicuri berupa authentication cookies atau pasangan login/password menjadi komoditas yang diperdagangkan. Penjual menggunakan alat pemeriksa log (tersedia seharga $40 di forum kriminal) untuk memverifikasi bahwa kredensial yang dijual masih valid.
Proliferasi layanan kejahatan siber yang mendukung setiap langkah rantai serangan Booking.com mencerminkan profesionalisasi model penipuan ini.
Evolusi Taktik ClickFix
Untuk memaksimalkan korban, halaman ClickFix terus ditingkatkan:
- Versi terbaru ClickFix menyertakan video tersemat, penghitung waktu mundur, dan penghitung jumlah “pengguna yang diverifikasi dalam satu jam terakhir” untuk meningkatkan persepsi keaslian dan membuat korban bertindak tanpa berpikir.
- Halaman kini mampu menyesuaikan instruksi agar cocok dengan sistem operasi korban (Windows atau macOS), meminta mereka menjalankan perintah di Windows Run dialog atau macOS Terminal.
- Teknik canggih yang secara otomatis menyalin kode berbahaya ke clipboard pengguna, mempermudah korban yang tidak curiga untuk menempelkan dan menjalankan perintah tersebut.
Tindakan Pencegahan
Untuk Hotel/Administrator:
- Jangan pernah mengklik tautan dari email Booking.com atau Expedia yang meminta login atau eksekusi perintah. Akses extranet secara langsung melalui browser yang aman.
- Segera aktifkan Autentikasi Multi-Faktor (MFA) pada semua akun extranet yang kritis.
Untuk Pelanggan/Wisatawan:
- Jika Anda menerima pesan WhatsApp/Email tentang masalah reservasi dan pembayaran, jangan klik tautan apa pun. Hubungi hotel secara langsung melalui nomor telepon resmi yang tertera di situs atau aplikasi booking resmi.
- Selalu periksa URL di browser. Pastikan itu adalah domain resmi (booking.com, expedia.com, dll.) sebelum memasukkan detail kartu perbankan.
Sumber berita:
