Um novo golpe em sites de viagens está chamando a atenção de especialistas em segurança digital e deve preocupar qualquer pessoa que usa plataformas populares como Booking.com, Airbnb e Expedia para planejar suas férias ou viagens de trabalho. Uma investigação revelou uma campanha massiva de phishing, orquestrada por hackers de língua russa, que já criou mais de 4.300 sites falsos com o objetivo de roubar dados de pagamento e informações pessoais de hóspedes.
O ataque, descoberto pela empresa de segurança Netcraft, é um dos mais sofisticados já observados no setor de turismo online. Diferente de campanhas tradicionais de phishing, esta operação utiliza sites altamente personalizados, sistemas falsos de verificação de segurança 3D Secure e até CAPTCHAs simulados, tudo para convencer as vítimas de que estão lidando com páginas legítimas de reservas.
Este artigo explica em detalhes como o golpe funciona, como identificar os sinais de alerta e, o mais importante, como se proteger para não se tornar a próxima vítima dessa nova onda de ataques.
O que é esta nova campanha massiva de phishing?
Segundo o pesquisador Andrew Brandt, da Netcraft, a empresa identificou uma operação coordenada que registrou mais de 4.300 domínios fraudulentos desde o início de 2025. A escala é impressionante: 685 domínios falsos com o nome “Booking”, 18 imitando a Expedia, 13 usando o nome da Agoda e 12 se passando pela Airbnb.
Os domínios foram criados para se parecer o máximo possível com os originais, usando pequenas variações como “booklng.com”, “guestverify-booking.net” ou “airbnb-secure.info”. Ao analisar o código-fonte desses sites, os pesquisadores encontraram comentários e estruturas escritas em russo, sugerindo que a campanha é conduzida por grupos de hackers de língua russa.
Esses criminosos usam técnicas avançadas de engenharia social e automação, o que lhes permite criar centenas de sites novos a cada semana, aumentando o alcance global da fraude.
Como o golpe nos sites de viagens funciona passo a passo
A operação segue um fluxo muito bem planejado, que conduz a vítima desde um simples e-mail até o roubo completo dos dados do cartão.
A isca inicial: o e-mail de “confirmação” urgente
Tudo começa com um e-mail de phishing disfarçado de comunicação oficial do Booking.com ou da Airbnb, informando que a reserva precisa ser “confirmada em até 24 horas” para evitar cancelamento. Essa pressão de urgência é uma das táticas mais eficazes dos golpistas.
O e-mail contém um link que não leva ao site oficial, mas a uma cadeia de redirecionamentos que terminam em um dos sites falsos registrados pelos criminosos.
A página falsa: sofisticada e personalizada
Ao clicar no link, o usuário é direcionado a uma página idêntica à do serviço legítimo, com logotipos, ícones e design copiados do Booking.com ou da Airbnb. Os domínios fraudulentos incluem termos como “confirmation”, “guestcheck” ou “cardverify”, que reforçam a ilusão de legitimidade.
Cada página é personalizada com um código exclusivo (AD_CODE) que ajusta automaticamente os detalhes da reserva, como o nome do hotel e as datas, tornando a fraude mais convincente. O site suporta 43 idiomas diferentes, demonstrando o alcance e o nível de investimento dos operadores.
O CAPTCHA falso e a coleta dos dados
Antes de prosseguir, o site mostra um CAPTCHA falso que imita a proteção legítima do Cloudflare, criando uma sensação de segurança. Em seguida, o usuário é direcionado para uma tela solicitando o pagamento de um “depósito de confirmação”.
É nessa etapa que a vítima insere todas as informações do cartão de crédito, incluindo número, validade e código CVV, acreditando que se trata de uma verificação legítima da reserva.
O golpe final: a falsa verificação 3D Secure
Com os dados já em mãos, os criminosos tentam processar uma transação real em segundo plano. Logo após, aparece uma janela de “chat de suporte” falsa, que orienta a vítima a concluir uma suposta “verificação 3D Secure” — a mesma usada por bancos reais para confirmar compras online.
Durante esse processo, os atacantes capturam também códigos de autenticação bancária, o que lhes permite concluir a transação e esvaziar a conta da vítima sem levantar suspeitas imediatas.
Como identificar e se proteger do golpe em sites de viagens
A boa notícia é que existem formas simples, mas eficazes, de se proteger desse tipo de golpe. A seguir, um guia prático:
- Verifique o remetente e a URL: Desconfie de e-mails que pareçam oficiais, mas venham de domínios diferentes de @booking.com ou @airbnb.com. Passe o mouse sobre os links (sem clicar) e observe o endereço real.
- Desconfie da urgência: Mensagens com prazos curtos, como “confirme em 24 horas”, são um alerta clássico de phishing.
- Acesse o site oficial ou aplicativo: Se tiver dúvidas sobre uma reserva, não clique em links de e-mails. Vá diretamente ao aplicativo do Booking.com ou Airbnb, ou digite manualmente o endereço oficial no navegador.
- Procure erros sutis: Mesmo que o design pareça perfeito, os sites falsos podem conter erros gramaticais, traduções estranhas ou URLs incomuns como “verifyguets71561-booking[.]com”.
- Use autenticação em duas etapas: Ativar a verificação em duas etapas no e-mail e no aplicativo do banco pode impedir que criminosos acessem suas contas mesmo que roubem seus dados.
O cenário maior: a ascensão do “Phishing como Serviço” (PhaaS)
A campanha dos hackers russos faz parte de uma tendência crescente chamada Phishing como Serviço (PhaaS). Nesse modelo, criminosos desenvolvem kits completos de ataque, com templates prontos, painéis de controle e bots do Telegram para extrair automaticamente os dados coletados. Esses kits são então vendidos ou alugados em fóruns clandestinos, permitindo que até pessoas sem conhecimento técnico executem golpes complexos.
Empresas de cibersegurança como Sekoia e Group-IB já documentaram campanhas semelhantes, incluindo as operações ClickFix, PureRAT e o ataque contra a Aruba SpA, todas voltadas ao setor hoteleiro e de reservas online. A facilidade de acesso a essas ferramentas explica por que golpes como o atual têm se multiplicado com tanta velocidade.
Conclusão: viaje seguro, mas navegue com atenção
O alerta é claro: uma campanha sofisticada de phishing está em andamento, mirando usuários de sites de viagens em todo o mundo. A operação combina engenharia social, design convincente e técnicas avançadas de fraude financeira.
Para não cair nesse tipo de armadilha, desconfie de comunicações urgentes, verifique sempre os domínios e confirme suas reservas diretamente nos aplicativos oficiais. Compartilhe este alerta com amigos e familiares que costumam viajar, a conscientização é a melhor defesa contra golpes cada vez mais elaborados.
