Aviso de segurança: Campanha de phishing direcionada a provedores de serviços de hotelaria

Visão Geral

A Cloudbeds está monitorando atualmente uma campanha de phishing em andamento que está afetando negócios de hotelaria em todo o setor. Embora esses ataques tenham sido relatados em vários provedores de tecnologia para hotéis, alguns clientes da Cloudbeds podem estar entre os alvos.

Estamos fornecendo essas informações para garantir que você tenha total visibilidade e possa tomar medidas preventivas imediatas, incluindo treinar sua equipe sobre sinais específicos de alerta. A equipe de Segurança da Cloudbeds está monitorando e respondendo ativamente a essa ameaça para proteger nossa plataforma, nossos clientes e seus hóspedes.

Este artigo inclui:

• Respostas às perguntas comuns sobre a campanha e seu impacto.
• Um Apêndice de Indicadores de Comprometimento (IOCs) para equipes técnicas ou de segurança dedicadas ajudarem a identificar e bloquear atividades maliciosas dentro da sua rede.

Perguntas Frequentes

O que está acontecendo e por que isso é importante?

Observamos que os invasores criaram páginas de logon fraudulentas que imitam o portal de acesso legítimo da Cloudbeds. Essas páginas falsas são promovidas por meio do Google Ads e de outros canais para enganar a equipe do hotel e fazê-la inserir suas credenciais. Depois que um usuário digita sua senha e o código de autenticação multifator em uma página falsa, os invasores usam as credenciais capturadas para:

1. Fazer logon na conta da Cloudbeds usando as credenciais roubadas.
2. Acessar e exportar dados de reservas, incluindo nomes de hóspedes, detalhes de contato e informações de reserva.
3. Enviar mensagens de phishing para hóspedes usando o sistema de mensagens do Guest Experience da Cloudbeds ou ferramentas de e-mail padrão, fazendo-as parecerem legítimas.
4. Entrar em contato diretamente com os hóspedes, via WhatsApp ou e-mail, com solicitações de pagamento fraudulentas, muitas vezes criando urgência em relação a pagamentos de reservas “pendentes” ou “confirmadas” e direcionando os hóspedes para links maliciosos criados para roubar suas informações de pagamento.

Quais URLs fazem parte da campanha de phishing?

As URLs maliciosas usadas nesta campanha podem variar e mudar com frequência. As páginas de logon falsas são projetadas para parecerem quase idênticas à página legítima de logon da Cloudbeds, sendo a URL frequentemente a única diferença visível.

Nosso parceiro de proteção de marca monitora continuamente e trabalha para remover esses domínios assim que são identificados. Para clientes com equipes técnicas, uma lista de URLs maliciosas conhecidas está incluída no apêndice, embora novas URLs possam surgir com o tempo.

Como precaução, recomendamos que você adicione a página de acesso oficial da Cloudbeds (signin.cloudbeds.com) aos seus favoritos e incentive sua equipe a sempre acessar a Cloudbeds usando esse link salvo, em vez de anúncios, resultados de busca ou links em e-mails ou mensagens.

A Autenticação Multifator (MFA) estava ativada nas contas comprometidas?

Sim. Todas as contas comprometidas investigadas até agora estavam usando MFA baseada em autenticador (códigos de uso único baseados em tempo). No entanto, códigos de autenticador não são à prova de phishing. Os atacantes os interceptam em tempo real enquanto os usuários os inserem na página de acesso fraudulenta e então os reutilizam imediatamente para acessar a conta legítima.

Para proteger seus usuários, recomendamos fortemente a troca para métodos de MFA resistentes a phishing:

1. Passkeys / Chaves de Segurança - Autenticação baseada em hardware ou dispositivo que não pode ser alvo de phishing
2. Método Okta Verify (MFA) - Como configurar - Verificação vinculada ao dispositivo que oferece maior proteção contra interceptação de credenciais em tempo real.

Como a Cloudbeds detecta e responde a atividades maliciosas?

Proteger seu negócio e seus hóspedes é uma prioridade compartilhada, e nossa equipe de Segurança está monitorando e respondendo ativamente a essa ameaça. Usamos múltiplas camadas de detecção e proteção projetadas para identificar atividades suspeitas cedo e limitar o impacto potencial:

1. Análise de risco de logon incluindo detecção de anomalias geográficas, verificação de velocidade de viagem, identificação de novos dispositivos e pontuação de reputação de IP para identificar e bloquear tentativas de autenticação suspeitas.
2. Monitoramento comportamental que encerra automaticamente sessões que exibem padrões consistentes com abuso de conta.
3. Detecção integrada de fraude que bloqueia e-mails e mensagens com URLs suspeitas.
4. Controles de domínio incluindo listas negras globais para domínios maliciosos conhecidos e listas de permissões por conta para que você possa controlar quais domínios são permitidos nas comunicações com hóspedes.
5. Proteção contínua da marca para identificar e derrubar páginas de logon fraudulentas e domínios de personificação.

Também estamos trabalhando com autoridades e provedores de serviços relevantes para desarticular esse grupo de ameaças.

Outros clientes da Cloudbeds foram alvo?

Sim. Isso faz parte de uma campanha de ataque coordenada, mais ampla, que mira o setor de hotelaria globalmente. Clientes que usam MFA baseada em autenticador (códigos de uso único) são os mais suscetíveis.

Quais ações de curto prazo podemos tomar para reduzir o risco?

Recomendamos fortemente o seguinte:

1. Adote MFA resistente a phishing - Mude os usuários para passkeys ou método Okta Verify (MFA). Aplicativos autenticadores que usam códigos baseados em tempo são vulneráveis a phishing em tempo real.
2. Adicione aos favoritos a URL correta de logon - Sempre use https://signin.cloudbeds.com e evite usar motores de busca para acessar a página de logon. Os invasores estão usando anúncios pagos para exibir links fraudulentos acima dos resultados legítimos.
3. Audite as contas de usuário - Remova contas de usuário desnecessárias e reduza privilégios, especialmente acesso à exportação e ao PII, apenas para quem realmente precisa.
4. Revise as permissões de exportação - Nas configurações de papel do usuário, remova o acesso a “Reserva - exportar lista de reservas” e à extração de PII para qualquer papel que não precise dessas permissões.
5. Configure sua lista de permissões de domínios - Entre em contato com o Suporte da Cloudbeds para configurar sua lista de permissões aprovada de domínios do Guest Experience e limitar quais URLs podem ser incluídas nas comunicações aos hóspedes da sua conta.
6. Treine sua equipe - Garanta que todos os usuários saibam verificar se estão em https://signin.cloudbeds.com antes de inserir credenciais e que nunca façam logon por links recebidos por e-mail ou por anúncios de motores de busca.

Existem outros ataques que devo ficar atento?

Alguns clientes relataram receber e-mails suspeitos ou maliciosos de remetentes desconhecidos tentando se passar pela Cloudbeds ou outras plataformas de hotelaria. Se notar qualquer atividade incomum na sua conta da Cloudbeds, recomendamos também verificar sua caixa de entrada de e-mails por mensagens inesperadas ou suspeitas.

Se receber e-mails de phishing, encaminhe-os para o endereço support@cloudbeds.com, com o assunto “Phishing”, para que nossa equipe possa revê-los e derrubar domínios maliciosos.

Hóspedes também podem receber mensagens fraudulentas via WhatsApp ou em outros canais, de golpistas se passando pela sua propriedade. Considere avisar proativamente os hóspedes de que sua propriedade nunca solicitará verificação de pagamento, dados de cartão ou pagamentos urgentes via WhatsApp ou links externos.

Se encontrar algo suspeito, informe imediatamente ao Suporte da Cloudbeds (support@cloudbeds.com).

Apêndice: Indicadores de Comprometimento (IOCs)

(Opcional - para clientes com equipes técnicas ou de segurança)

Use estes para bloquear ou monitorar atividades suspeitas sempre que possível. Informe quaisquer descobertas relevantes ao Suporte da Cloudbeds.

Endereços de e-mail de phishing conhecidos

Os seguintes endereços de e-mail foram identificados como fontes de e-mails de phishing direcionados a clientes da Cloudbeds e seus hóspedes:

1. contato@10138743.brevosend.com.
2. support@kokazia.freshdesk.com.
3. amatolucia@outlook.com.

URLs de Phishing / Domínios maliciosos

Domínios maliciosos conhecidos usados em campanhas de phishing contra clientes da Cloudbeds. Novas URLs aparecem com frequência; esta lista está atualizada até 5 de fevereiro de 2026:

1. kokazia[.]freshdesk[.]com
2. 10138743[.]brevosend[.]com
3. terralsuites[.]com[.]ar

Endereços IP maliciosos conhecidos

Os seguintes endereços IP foram confirmados como infraestrutura de atacantes usada em incidentes de comprometimento de contas:

1. 92.243.64.222
2. 51.195.242.229

Indicadores de golpes no WhatsApp

Hóspedes podem receber mensagens no WhatsApp de números desconhecidos se passando pela sua propriedade e solicitando pagamento urgente. Características comuns incluem:

1. Pedidos para “confirmar sua reserva” via link de pagamento externo.
2. Pressão para agir imediatamente ou risco de cancelamento.
3. Links para domínios que não pertencem à sua propriedade ou à Cloudbeds.

Domínios fraudulentos conhecidos usados em golpes contra hóspedes

Os seguintes domínios foram usados em comunicações fraudulentas direcionadas a hóspedes:

1. hxxp://cloudbeds-property-manager-signon.bolt.host
2. hxxp://cloudbeds-online.com
3. hxxp://ddk.joinposter.com
4. hxxp://cloudbeds-property-manager-signon.bolt.host
5. hxxp://corona-doner.joinposter.com
6. hxxp://signin.clauldbeds.com
7. hxxp://cloud-beds.app/
8. hxxp://cloudbeds-app.com/