Campagna di phishing mirata al settore alberghiero che si spaccia per Expedia e Cloudbeds
8 settembre 2025
Di Samantha Clarke, Ankit Gupta e il team di ricerca sulle minacce di Mimecast
- Campagna su larga scala di raccolta di credenziali rivolta ai professionisti del settore alberghiero
- Si spaccia per le affidabili piattaforme di gestione alberghiera Expedia Partner Central e Cloudbeds
- Le campagne sfruttano la fiducia riposta nelle normali notifiche relative alle prenotazioni alberghiere e alle commissioni
Panoramica della campagna
Samantha Clarke, Ankit Gupta e il team di ricerca sulle minacce di Mimecast hanno individuato una campagna di phishing attiva che prende di mira in modo specifico i professionisti del settore alberghiero tramite e-mail fraudolente che si spacciano per le piattaforme Expedia Partner Central e Cloudbeds. Questa operazione di raccolta delle credenziali sfrutta la natura di routine delle comunicazioni relative alle prenotazioni alberghiere per indurre i destinatari a rivelare le proprie credenziali di accesso.
La campagna utilizza oggetti delle e-mail dal tono urgente e di importanza cruciale per l’attività, pensati per stimolare un’azione immediata da parte dei direttori e del personale degli hotel. Tra le esche più comuni figurano gli avvisi relativi al monitoraggio delle commissioni, gli aggiornamenti di sistema, le conferme delle prenotazioni degli ospiti e le notifiche della piattaforma partner. Tali tematiche sfruttano la natura urgente delle operazioni nel settore dell’ospitalità, in cui le risposte tardive alle prenotazioni degli ospiti o agli avvisi di sistema possono incidere direttamente sui ricavi aziendali.
Gli autori delle minacce dimostrano una conoscenza approfondita dei flussi di lavoro del settore alberghiero, redigendo e-mail che fanno riferimento a funzionalità specifiche delle piattaforme, quali "Partner Central," " monitoraggio delle commissioni," e "messaggi agli ospiti." Le e-mail indirizzano i destinatari verso pagine di accesso fraudolente che riproducono fedelmente le interfacce legittime di Expedia e Cloudbeds, progettate per sottrarre nomi utente, password e, potenzialmente, token di autenticazione a più fattori.
Tutte le infrastrutture dannose individuate utilizzano la piattaforma di hosting delle applicazioni di Vercel, il che suggerisce che gli autori degli attacchi stiano sfruttando la facilità di implementazione e l’aspetto legittimo di tale servizio per ospitare i propri siti finalizzati alla raccolta di credenziali. L'uso sistematico di nomi di dominio e sottodomini incentrati sul settore dell'ospitalità indica una campagna mirata e specifica per il settore, piuttosto che un'attività di phishing opportunistica e ad ampio raggio.
Protezione Mimecast
Mimecast ha implementato funzionalità di rilevamento per identificare e bloccare le e-mail associate a questa campagna incentrata sul settore alberghiero. Il nostro servizio URL Protect blocca attivamente l'accesso ai domini dannosi identificati, mentre i nostri motori anti-phishing rilevano gli schemi delle e-mail della campagna e le caratteristiche dell'oggetto.
Continuiamo a monitorare i nuovi domini e le nuove tattiche utilizzate da questo attore malintenzionato, aggiornando le nostre capacità di rilevamento man mano che la campagna si evolve.
Obiettivi
Destinatari principali: professionisti del settore alberghiero, tra cui direttori d’albergo, addetti alle prenotazioni e proprietari di strutture ricettive che utilizzano le piattaforme Expedia Partner Central e Cloudbeds
Ambito geografico: globale, con particolare attenzione alle regioni caratterizzate da un’elevata attività di prenotazione alberghiera
Settori: Settore alberghiero
Indicatori di compromissione (IOC)
Domini dannosi:
- Domini a tema Cloudbeds:
- cloudbeds-extranet-verification[.]vercel[.]app
- console-dashboard-vv[.]vercel[.]app
- hotel-cloudbeds-app[.]vercel[.]app
- sistema-di-prenotazione-cloudbeds[.]vercel[.]app
- dashboard-cloudbeds-sign[.]vercel[.]app
- view-dashboard-lodge[.]vercel[.]app
- pms-cloud-beds[.]vercel[.]app
- siginin-dashboard-app[.]vercel[.]app
- cloudbeds-app[.]vercel[.]app
- cloudbeds-reservatiob-signin[.]vercel[.]app
- cloudbeds-verification-manager[.]vercel[.]app
- cloudbeds-verification[.]vercel[.]app
- cloudbeds-service-page[.]vercel[.]app
- signin-cloudbeds-dashboard[.]vercel[.]app
- cloudbeds-welcome-message[.]vercel[.]app
- app-cloudbeds-online[.]vercel[.]app
- cloudbeds-reservetion-dashboard[.]vercel[.]app
- extranet-cloudbeds-okto[.]vercel[.]app
Domini ispirati a Expedia:
- expedia-group-reservation-view[.]vercel[.]app
- hotel-reservation-expedia[.]vercel[.]app
- partner-central-okta[.]vercel[.]app
- preferences-dashboard[.]vercel[.]app
- expedia-new-signin[.]vercel[.]app
- expedia-partner-cental-reservation[.]vercel[.]app
- extranet-expedia-group-central[.]vercel[.]app
- expedia-group[.]vercel[.]app
- expedia-customer-reservetion[.]vercel[.]app
- expedia-proccess-signin[.]vercel[.]app
- expedia-lodge-dashboard[.]vercel[.]app
- expedia-central-approve[.]vercel[.]app
- partner-expedia-pro[.]vercel[.]app
- expedia-group-service[.]vercel[.]app
- access-expedia-verification[.]vercel[.]app
- expedia-payment-verification[.]vercel[.]app
- expedia-payment-validation[.]vercel[.]app
- expedia-service-app[.]vercel[.]app
- expedia-customer-application[.]vercel[.]app
- v0-reservation-expedia-partner[.]vercel[.]app
Oggetti comuni:
- Oggetto: NC 20241 - Conferma ora: monitorare correttamente le commissioni
- Oggetto: Avviso di sistema importante – Rif. n. 8864560
- Oggetto: Nuovo messaggio di un ospite – Rif.: 3779748
- Oggetto: Prenotazione n. XP-2232111 in sospeso
- Oggetto: Aggiornamento del sistema dei partner — record n. 3284891
- Inoltro: Messaggio in attesa su Partner Central
- Oggetto: Prenotazione di un ospite ricevuta tramite Cloudbeds
- Inoltro: Notifica Cloudbeds – Camera matrimoniale Premium prenotata
Raccomandazioni
Formazione sulla sensibilizzazione degli utenti
- Formare il personale del settore ricettivo affinché sia in grado di individuare le e-mail fraudolente relative alle prenotazioni e alle commissioni
- Effettuare simulazioni mirate di phishing utilizzando scenari incentrati sul settore alberghiero
- Formate i dipendenti affinché verifichino gli avvisi urgenti del sistema tramite i canali ufficiali della piattaforma prima di cliccare sui link
Attuazione della politica di sicurezza
- Implementare l'autenticazione a più fattori per tutti gli account della piattaforma di gestione alberghiera (ove possibile)
- Definire le procedure di verifica per gli avvisi di sistema ricevuti tramite e-mail
- Stabilire delle linee guida che impongano al personale di accedere alle piattaforme Expedia e Cloudbeds direttamente tramite URL aggiunti ai segnalibri, anziché tramite link contenuti nelle e-mail
Ricerca proattiva delle minacce
- Esaminare i log degli URL per individuare eventuali tentativi di accesso a domini ospitati su Vercel contenenti parole chiave relative all’ospitalità
- Esaminare i registri delle e-mail alla ricerca di messaggi contenenti i modelli di oggetto identificati
- Verificare i tentativi di autenticazione alle piattaforme del settore ricettivo provenienti da località geografiche insolite