Утечка данных или фишинговая атака? Что стоит за сообщениями о «взломе» Booking.com в 2026 году

NL Times сообщает о новой волне хакерских атак на Booking.com. Злоумышленники получили доступ к аккаунтам отелей на платформе и организовали фишинговую рассылку по гостям через встроенный мессенджер Booking.com и внешние каналы.

«Эти сообщения выглядят чрезвычайно убедительно. Преступники используют ИИ-инструменты для практически идеального воспроизведения фирменных бланков отелей, подписей, логотипов и других узнаваемых деталей», — отметил этический хакер Сэймен Рувхоф в интервью изданию de Telegraaf

Какие данные находятся под угрозой?

При компрометации аккаунта отеля-партнёра злоумышленники получают доступ к информации, которую отель видит в своём кабинете на Booking.com. В зону риска попадают имена и фамилии гостей, контактные данные (номера телефонов, адреса электронной почты), детали бронирования (даты заезда/выезда, тип номера, стоимость), а также специальные запросы гостей, такие как предпочтения по питанию или необходимость трансфера.

При этом платёжные данные (полные реквизиты карт) не хранятся в интерфейсе партнёра и обрабатываются через защищённые шлюзы Booking.com, что снижает риск их прямой компрометации в рамках данного сценария.

Механика атаки: трёхступенчатая схема

Исследователи кибербезопасности из компании Bridewell описывают текущую кампанию как многоступенчатую операцию.

Этап первый: фишинг против отелей. Персонал отелей получает письма, оформленные как жалобы гостей или срочные запросы по бронированию. Ссылка в письме ведёт на поддельную страницу входа в партнёрский кабинет, использующую методы IDN-омографии (замена латинских символов на визуально идентичные кириллические) для имитации домена booking.com. Введённые учётные данные перехватываются и передаются злоумышленникам.

Этап второй: доступ к данным бронирований. Используя украденные логины, атакующие входят в реальные аккаунты отелей на Booking.com, извлекают списки предстоящих бронирований с контактными данными гостей и экспортируют информацию для подготовки целевых сообщений.

Этап третий: мошенничество против путешественников. Гости получают сообщения (через приложение Booking.com, WhatsApp или email), оформленные как уведомление от отеля. В сообщении указывается, что требуется «подтверждение оплаты», «дополнительный депозит» или «верификация карты» для сохранения бронирования. Ссылка ведёт на фишинговую страницу, имитирующую платёжный интерфейс, где жертва вводит реквизиты карты.

Компания опубликовала рекомендации для партнёров и гостей.

Для отелей: необходимо включить двухфакторную аутентификацию (2FA) для всех аккаунтов партнёрского кабинета, обучить персонал распознаванию фишинговых писем, особенно с темами «жалоба гостя» или «срочное изменение бронирования» , а также немедленно сообщать в службу безопасности платформы о подозрительной активности.

Для путешественников: не переходить по ссылкам из сообщений, запрашивающих платёжные данные вне официального приложения или сайта; проверять любые запросы на оплату через раздел «Мои бронирования» в личном кабинете или связавшись с отелем напрямую по официальному телефону. Важно помнить: Booking.com и легитимные отели никогда не запрашивают полные реквизиты карты через мессенджеры или электронную почту.

«Если вы сомневаетесь в подлинности сообщения — не нажимайте на ссылки. Свяжитесь с нами через официальные каналы поддержки», — указано в рекомендациях для пользователей на портале безопасности Booking.com.

Статистика и география инцидентов

По данным голландской службы помощи жертвам мошенничества (Fraud Helpdesk), динамика жалоб, связанных с фишингом через платформы бронирования, демонстрирует устойчивый рост. В 2024 году было зарегистрировано 89 случаев с ориентировочным ущербом около €25 000. В 2025 году количество инцидентов выросло до примерно 200 случаев с ущербом около €65 400. В начале 2026 года рост продолжается, точные данные уточняются.

Помимо Нидерландов, аналогичные инциденты зафиксированы в Великобритании, Франции, Сингапуре и других странах с активным туристическим потоком`.