En aktiv phishing-kampagne sender dansksprogede mails fra en falsk “Booking Manager”.
Bag den uskyldigt udseende kalenderinvitation gemmer sig en ZIP-fil med fjernstyringssoftware, og kampagnen har kørt siden april. Det fremgår af en analyse fra Microsoft Threat Intelligence, der blev offentliggjort torsdag den 25. juni 2026.
Angrebet rammer hoteller og rejsende i Europa og Asien midt i sommerens bookingsæson. Mailen ser ud til at komme fra “Booking Manager (via Calendly)” og handler typisk om gæsteklager, mistanke om væggelus eller en sundhedsinspektion, oplyser Microsoft i en teknisk redegørelse. Det er emner, der får travle receptionister og hotelejere til at reagere hurtigt.
Sådan slipper svindlen forbi spamfilteret
Det tekniske trick handler om noget, Microsoft kalder “authentication laundering”. I stedet for at sende mails fra et eget domæne, der ville blive blokeret, sender angriberne dem gennem Calendlys legitime kalenderplatform. Det betyder, at mailen passerer alle de tre standardtjek for afsenderægthed — SPF, DKIM og DMARC — og dumper direkte i indbakken.
Linket i mailen sender via en omdirigering hos Google videre til en falsk Booking.com-side, der serverer en fil med navnet photo-XXXX.zip. Inde i arkivet ligger en genvejsfil forklædt som et billede.
Bliver den åbnet, henter en PowerShell-kommando i baggrunden et nyt program, der installerer en privat udgave af programmeringsmiljøet Node.js på computeren. Det er fjernstyringsværktøjet, som Microsoft kalder TonRAT, og det henter sine kommandoer via blockchain-tjenesten TON. Det gør det meget svært for it-afdelinger at blokere serverne.
Dansk blandt kampagnesprogene
Microsoft har observeret lokkemails på blandt andet japansk, dansk og hollandsk. At dansk overhovedet er på listen er bemærkelsesværdigt, fordi det viser, at angriberne målrettet rammer mindre sprogområder, ikke kun engelsktalende markeder.
Cybersikkerhedsfirmaet SOC Prime har lavet en teknisk analyse af angrebskæden og beskriver kampagnen som et målrettet angreb mod hotelbranchen. Hverken Microsoft eller SOC Prime har peget på en bestemt aktør bag, og det reelle formål er stadig uklart. Der er endnu ikke meldt om datatyveri eller løsesumsangreb i kølvandet.
Kendetegn ved den falske mail
Et par konkrete ting afslører svindlen, hvis man ser efter:
-
Afsendernavnet er “Booking Manager (via Calendly)”, ikke Booking.com selv
-
Emnefeltet handler om en klage, en inspektion eller en hastesag på hotellet
-
Linket leder via en kort URL eller en .cfd-adresse, ikke booking.com
-
Vedhæftningen er en ZIP-fil med navnet photo- efterfulgt af tilfældige tal
Har man allerede klikket og hentet ZIP-filen, men ikke åbnet den, bør den slettes uden at blive pakket ud. Er filen åbnet, anbefaler Microsoft at få kørt en grundig scanning af maskinen og se efter en Node.js-installation, brugeren ikke selv har lavet. Receptionister og hotelpersonale bør melde mailen videre til deres it-ansvarlige, fordi kampagnen ifølge Microsoft er rettet mod virksomhedsnet snarere end privatpersoner.
For almindelige danskere, der booker sommerferie i disse uger, er den korte version: kommunikation om en booking foregår inde i Booking.coms egen app eller på det officielle website. Får man en mail med kalenderlink og en ZIP-fil, er det aldrig fra Booking.com.