Gli aggressori hanno iniziato a utilizzare un trucco insolito per mascherare i link di phishing, facendoli apparire come indirizzi di Booking.com. La nuova campagna malware utilizza il carattere hiragana giapponese “ん” (U+3093). In alcuni font e interfacce, assomiglia visivamente a una barra, facendo apparire l’URL come un normale percorso sul sito, sebbene in realtà conduca a un dominio falso. Il ricercatore JAMESWT ha scoperto che nelle e-mail di phishing il collegamento si presenta così: https://admin.booking.com/hotel/hoteladmin/… ma in realtà indirizza l’utente a un indirizzo del tipo https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/. Tutto ciò che precede “www-account-booking[.]com” è solo un sottodominio che imita la struttura del sito reale.