A Microsoft emitiu um alerta sobre uma nova campanha de phishing direcionada ao setor hoteleiro. Os criminosos estão utilizando falsas reclamações de hóspedes e mensagens que simulam comunicações urgentes para convencer funcionários de hotéis a acessar links maliciosos e fornecer credenciais de login. A estratégia explora situações comuns da rotina da hotelaria e utiliza serviços legítimos para aumentar a credibilidade dos e-mails enviados.
Segundo a equipe de Microsoft Threat Intelligence, as mensagens fraudulentas utilizam o nome de exibição “Booking Manager (via Calendly)” e abordam temas como reclamações de hóspedes, infestações de percevejos, inspeções sanitárias, avaliações negativas e solicitações de reservas. O objetivo é criar um senso de urgência para levar os colaboradores a clicar em links maliciosos.
Técnica contorna verificações tradicionais
Um dos aspectos mais sofisticados da campanha é o uso de uma técnica conhecida como “authentication laundering” (lavagem de autenticação).
Os invasores enviam as mensagens por meio da infraestrutura legítima do Calendly e utilizam o serviço de redirecionamento de URLs do Google. Como os e-mails partem de plataformas autorizadas, eles conseguem passar pelas verificações de segurança SPF, DKIM e DMARC, frequentemente utilizadas para validar a autenticidade do remetente. Isso aumenta significativamente a chance de as mensagens chegarem à caixa de entrada das vítimas.
Campanha é distribuída em larga escala
A Microsoft observou que os ataques não são altamente personalizados. Os e-mails não citam o nome do hotel nem do destinatário, indicando que os criminosos utilizam listas de contatos para enviar milhares de mensagens simultaneamente.
As campanhas foram identificadas em idiomas como japonês, holandês e dinamarquês, com maior incidência no Japão, mas especialistas alertam que a metodologia pode ser facilmente adaptada para atingir hotéis em qualquer país.
Objetivo final ainda é investigado
Até o momento, a Microsoft não atribuiu a campanha a um grupo criminoso específico nem confirmou qual é a etapa final do ataque.
Também não há registros públicos de implantação de ransomware ou de grandes vazamentos de dados associados à operação. Ainda assim, a empresa alerta que o roubo de credenciais pode servir como porta de entrada para ataques mais complexos, incluindo comprometimento de contas corporativas e invasões às redes internas das organizações.
Como hotéis podem se proteger
Especialistas recomendam que empresas do setor reforcem a conscientização das equipes sobre golpes de engenharia social e adotem medidas de proteção adicionais, como:
- verificar cuidadosamente o remetente e os links antes de abrir mensagens;
- desconfiar de e-mails com tom de urgência ou pressão emocional;
- utilizar autenticação multifator resistente a phishing;
- manter soluções de proteção de e-mail atualizadas;
- treinar colaboradores para identificar tentativas de fraude.
A Microsoft destaca que ataques de phishing continuam sendo uma das principais portas de entrada para invasões corporativas. Somente no primeiro trimestre de 2026, a empresa detectou aproximadamente 8,3 bilhões de ameaças de phishing por e-mail, demonstrando que esse tipo de golpe permanece entre os maiores desafios para a segurança digital das organizações.
