גל של מתקפות סייבר מתוחכמות, המבוססות על שיטת ההונאה החברתית "ClickFix", מכה בחודשים האחרונים בענף המלונאות והתיירות העולמי, כאשר יפן הפכה לאחד ממוקדי הפגיעה המרכזיים.

חקירות אבטחה של ענקיות טכנולוגיה, ובהן מיקרוסופט, חושפות כי האקרים מצליחים להשתלט על מערכות הניהול הפנימיות של בתי מלון (האקסטרא-נט של Booking.com), גונבים נתוני הזמנות אמיתיים של אורחים ומפילים אותם במלכודת פיננסית קשה.
האירוע צבר תאוצה דרמטית ביפן במהלך חופשת "שבוע הזהב" (Golden Week) במאי 2026, כאשר רשתות מלונות יפניות מובילות, כמו אימפריאל הוטל ומלון ניו אוטני אוסקה, נאלצו להוציא אזהרות חירום דחופות לאורחיהן. באחד המקרים, רשת המלונות היפנית Polaris Holdings דיווחה על גניבה של כ-9 מיליון ין (כ-57,000 דולר) באמצעות זיוף פרטי חשבונות הבנק של המלון במערכת.
שלב 1: שיטת ClickFix – כך מפילים את עובדי המלון ברשת
שרשרת התקיפה אינה נובעת מפריצה ישירה לשרתי חברת Booking.com העולמית, אלא מתחילה ב"חוליה החלשה" – עובדי הקבלה והשירות בבתי המלון.
- מייל תלונה מזויף: התוקפים (המזוהים על ידי מיקרוסופט כקבוצת Storm-1865) שולחים לערוצי השירות של המלון מייל או הודעה המתחזה לאורח כועס. ההודעה עוסקת בנושאים רגישים כמו תלונה חריפה על ניקיון החדר, בקשה דחופה להחזר כספי או בעיה רפואית.
- מלכודת ה-CAPTCHA המזויפת: בתוך ההודעה מוטמע קישור כביכול לדוגמה או לפרטי התלונה. לחיצה עליו מובילה את עובד המלון לדף אינטרנט המעוצב בדיוק כמו בדיקת בוטים לגיטימית של Cloudflare Turnstile, אך עם לוגו של Booking.com ברקע.
- הונאת המקלדת (העתק-הדבק): הדף מציג הודעת שגיאה פיקטיבית ומנחה את העובד לפתור אותה על ידי לחיצה על קיצור המקלדת Win + R (פתיחת חלונית ההפעלה של ווינדוס), ולאחר מכן Ctrl + V ו-Enter. מה שהעובד אינו יודע הוא שעצם הלחיצה על דף האינטרנט העתיקה ללוח שלו (Clipboard) פקודת PowerShell זדונית. ברגע שהוא מדביק ומריץ אותה, הוא מתקין בעצמו נוזקות לגניבת סיסמאות (כמו Lumma Stealer או XWorm) העוקפות את מערכות ההגנה הארגוניות.
שלב 2: השתלטות על הפיד והונאת "התשלום הכפול" של האורחים
ברגע שהנוזקה גונבת את פרטי הגישה של המלון למערכת האקסטרא-נט של Booking.com, התוקפים נכנסים פנימה וזוכים לגישה מלאה לנתוני האורחים: שמות, תאריכי שהייה, מספרי טלפון, וחשוב מכל – היסטוריית הצ'אט הרשמית.
מכאן, התוקפים פונים ישירות אל האורחים דרך חשבון המלון הרשמי (בתוך האפליקציה של Booking.com) או באמצעות הודעות WhatsApp ו-SMS ישירות למספר הטלפון שלהם. מכיוון שההאקרים מחזיקים בפרטי ההזמנה המדויקים, הפנייה נראית אמינה לחלוטין. האורחים מקבלים הודעה מלחיצה הטוענת כי "אישור כרטיס האשראי נכשל" וכי עליהם להיכנס לקישור המצורף כדי "לאמת את כרטיס האשראי תוך 24 או 48 שעות, אחרת ההזמנה תבוטל אוטומטית". הקישור מוביל לדף תשלום מזויף שגונב את פרטי האשראי ומחייב אותם במאות ואלפי דולרים.
כיצד להתגונן? פרוטוקול פעולה למטיילים
חברת Booking.com הבהירה כי היא לעולם אינה מבקשת מאורחים פרטי אשראי או העברות בנקאיות מחוץ למערכת התשלומים המובנית שלה, וכי היא פועלת מול המלונות להקשחת נהלי הגישה (כמו אימות דו-שלבי חובה).
אם יש לכם הזמנה פעילה, מומחי האבטחה ממליצים לפעול לפי הכללים הבאים:
אל תסמכו על ההודעה, תסמכו על האפליקציה: גם אם קיבלתם הודעה בתוך הצ'אט הרשמי של Booking.com שמציגה את שמכם המלא ומספר ההזמנה, לעולם אל תלחצו על קישורי תשלום חיצוניים שנשלחו אליכם.
- בדקו את תנאי המלון המקוריים: חזרו למייל אישור ההזמנה המקורי שלכם. אם היה כתוב שם שהתשלום יתבצע במלון עצמו, כל דרישה לתשלום מראש או "אימות כרטיס" בדיעבד היא בוודאות ניסיון עוקץ.
- צרו קשר עצמאי: אם עלה בכם חשד, אל תענו להודעה שנשלחה אליכם. חפשו את מספר הטלפון הרשמי של המלון בגוגל או באתר עצמו, והתקשרו ישירות לקבלה כדי לברר את סטטוס ההזמנה.





