ESETは7月3日(現地時間)、「No room for error: Don’t get stung by these common Booking.com scams」において、人気の宿泊施設予約サイト「Booking.com」に関連したサイバー犯罪とその対策について伝えた。旅行関連のオンライン詐欺は2022年のChatGPT登場以来、500%から900%の急激な増加がみられるとして長期休暇を前に注意を喚起している。

  • No room for error: Don’t get stung by these common Booking.com scams

    No room for error: Don’t get stung by these common Booking.com scams

Booking.comに関連したサイバー犯罪

ESETが確認したBooking.comに関連するサイバー犯罪の概要は次のとおり。

フィッシング詐欺

メール、メッセージを使用したフィッシング詐欺は定番の手法。Booking.comの予約者に予約が取り消されたと偽の連絡をして、予約の回復に追加の支払いを要求する。この手法は、生成AIの登場が被害拡大に大きく影響したとされる。生成AIは文法に誤りのない説得力のある文面を簡単に生成できるため、過去に詐欺を見抜けたユーザーもだまされるようになったとみられている。

  • 宿泊予約に支払い情報の再入力を求めるフィッシングメールの例 - 引用:ESET

    宿泊予約に支払い情報の再入力を求めるフィッシングメールの例  引用:ESET

チャットの乗っ取り

攻撃者は「宿泊施設のBooking.comアカウント」に不正アクセスし、宿泊施設の従業員になりすましてアプリ内チャットから詐欺を実行する。多くの場合、前回の支払いに誤りがあると偽の連絡を入れ、追加の支払いを請求する。

この手法は詐欺師の存在を隠蔽できるため、ユーザーが認識して回避することは難しいとされる。チャットを通じて不審な追加請求の連絡を受けた場合は、別の連絡方法を使用して確認することが望まれている。

存在しない宿泊施設

豪華で魅力的な宿泊施設を安価に提供するとみせかける詐欺。宿泊施設は存在しない、もしくは、予約が行われないため、現地に到着してから詐欺に気づくことになる。

通常このような偽施設の登録はシステムに検出されて削除される。しかしながら、登録から削除までにタイムラグがあり、その間にだまされる可能性がある。

サクラの募集

宿泊施設の評価を上げるためとして、サクラ(偽の宿泊客)を募集する詐欺。応募すると個人情報の提供および前金の支払いを求められる。

安全な予約の仕方

ESETはBooking.comの安全な予約方法として12のヒントを解説している。その概要は次のとおり。

  1. Booking.comまたは宿泊施設から「緊急」の連絡を受信した場合は詐欺を疑う
  2. メールの送信元アドレスが正規のドメインか毎回確認する
  3. 不審な連絡があった場合は、Webサイトからログインして状況を確認する
  4. Booking.comがメールやチャットを通じてクレジットカード情報、社会保障番号、パスワードを要求することはない。このような要求は詐欺を疑う
  5. メールおよびメッセージに含まれるリンクにはアクセスしない
  6. 支払いはBooking.comの公式プラットフォームを通じて行う。宿泊施設には送金しない
  7. Booking.comのレビューと評価を確認する。詐欺では既存の宿泊施設の説明や画像をコピーすることがある。同じ説明や画像が他に存在する場合は詐欺を疑う
  8. Webブラウザの保護機能を持つセキュリティソリューションを導入し、フィッシングサイトへのアクセスを防止する
  9. 宿泊施設を探す前にオペレーティングシステムおよびWebブラウザを最新版にアップデートする
  10. アカウントには一意で強力なパスワードを設定する。可能であれば多要素認証(MFA: Multi-Factor Authentication)を利用する
  11. 不審な事案に遭遇した場合は、速やかにカスタマーサービスに連絡する
  12. 詐欺師に支払い情報を提供した場合は、速やかに金融機関またはカード会社に連絡する

宿泊予約のフィッシング詐欺では、資金の窃取に加え、個人情報およびクレジットカード情報を窃取される可能性が高い。ESETは個人情報の窃取がソーシャルエンジニアリング攻撃につながる可能性があるとして、注意を呼びかけている。