Quem se hospedou recentemente em um hotel da América Latina ou Espanha pode ter tido os dados do seu cartão de crédito roubados. Entre junho e agosto de 2025, a Equipe Global de Pesquisa e Análise da Kaspersky (GReAT) descobriu uma nova onda de ciberataques realizados por um grupo RevengeHotels, que ataca hotéis para roubar informações de cartões de crédito dos hóspedes. O grupo, ativo desde 2015, tinha passado os últimos anos sem apresentar novidades até o registro dessa nova campanha – que marca seu reaparecimento com melhorias em seus métodos, como o uso de Inteligência Artificial para tornar os ataques mais eficazes e expandi-los para outras regiões.
Embora os hotéis brasileiros sejam o principal alvo da nova campanha, a atividade também se estendeu a países de língua espanhola como Argentina, Bolívia, Chile, Costa Rica, México e Espanha. No início deste ano foi observada outra campanha do mesmo ator direcionada a hotéis na Rússia, Bielorrússia, Turquia, Malásia, Itália e Egito.
O grupo utiliza e-mails maliciosos (phishing) disfarçados de pedidos de reserva para realizar a infecção dos sistemas dos hotéis. As mensagens de phishing são enviadas geralmente para os endereços de reservas publicados nos sites das empresas. Em alguns casos recentes, observou-se também o uso de falsos pedidos de emprego, nos quais os atacantes enviam currículos para tentar explorar possíveis vagas nos hotéis-alvo. Para realizar a infecção, os atacantes recorrem a serviços de hospedagem legítimos, frequentemente registrando domínios com temática em português.
Exemplo de phishing usando a confirmação de reserva como disfarce
Quando um funcionário abre esses e-mails, um trojan de acesso remoto chamado VenomRAT é instalado nos sistemas do hotel, dando aos atacantes acesso aos dados de pagamento (cartões de crédito) dos hóspedes e a outras informações sensíveis. O VenomRAT é distribuído em fóruns da dark web, com licenças vitalícias que podem chegar a 650 dólares. Os e-mails costumam ser convincentes e, de acordo com a análise dos especialistas da Kaspersky, o malware mais recente do RevengeHotels inclui códigos que provavelmente foram gerados por ferramentas de inteligência artificial.
“Os cibercriminosos estão usando cada vez mais a IA para criar novas ferramentas e tornar seus ataques mais eficazes. Isso faz com que até mesmo métodos já conhecidos, como e-mails de phishing, sejam mais difíceis de detectar pelas pessoas comuns. Para os hóspedes de hotéis, isso significa um risco maior de roubo de dados de cartões e outras informações pessoais, que serão vendidos na dark web”, comenta Lisandro Ubiedo, analista sênior de segurança da Kaspersky.
Para que os hóspedes possam se proteger, os especialistas da Kaspersky recomendam:
- Antes de fazer uma reserva, verifique se o hotel cumpre os principais padrões de segurança, como ISO ou PCI DSS.
- Utilize uma solução de segurança confiável em todos os seus dispositivos, como o Kaspersky Premium, que protege dados pessoais e de pagamento durante transações bancárias online.
- Faça uma pesquisa rápida na internet por avaliações ou notícias recentes sobre o hotel onde você vai se hospedar. Isso pode ajudar a conhecer como o estabelecimento lida com a segurança dos dados.
- Considere usar um endereço de e-mail e um número de telefone secundários apenas para suas viagens, a fim de manter privados seus contatos principais.
- Prefira usar um cartão de crédito com limite menor ou use cartões virtuais sempre que possível; eles são mais fáceis de pausar ou cancelar se necessário.
Para os hotéis, os especialistas da Kaspersky recomendam:
- Verificar se a infraestrutura do hotel cumpre padrões internacionais de segurança digital e privacidade de dados.
- Implementar sistemas de pagamento com autenticação avançada, como 3D Secure, tokenização ou gateways seguros para reduzir fraudes em transações online.
- Monitorar avaliações, fóruns e notícias relacionadas ao hotel ou à rede para antecipar riscos de desinformação ou ataques à reputação.
- Utilizar contas de e-mail e linhas telefônicas distintas para operações internas, reservas corporativas e uso pessoal de colaboradores, a fim de limitar a exposição.
- Evitar o uso de software obsoleto em processos críticos, já que sistemas desatualizados representam portas de entrada fáceis para ataques de ransomware ou roubo de dados.
- Instruir o pessoal para que pergunte e reporte atividades suspeitas, como e-mails estranhos, solicitações incomuns de dados de clientes ou comportamentos anômalos nos sistemas.
