Исследование показывает крайнюю степень уязвимости гостиничной инфраструктуры: атакующие использовали далеко не новые уязвимости в офисном ПО и успешно применяли методы социальной инженерии. Последние особенно опасны, так как именно в отелях получение и обработка платежных документов от неизвестных компаний является нормой, и заставить персонал открыть зараженный документ не составляет труда.
В частности, одна из групп использовала уязвимость
На скриншоте выше — пример фишингового письма. Оформлен по высшему разряду: отправлен с домена, на одну букву отличающегося от реального, от имени настоящей компании, с правдоподобными аттачами. Примерно так и должен выглядеть запрос на резервирование номеров от юридического лица. При открытии прикрепленного документа MS Word запускается скрипт:
Этот скрипт подтягивает уже основное вредоносное ПО. Кастомизация троянов для слежки за компьютером в основном направлена на перехват номеров клиентских кредитных карт. Скриншоты экрана создаются в нужные моменты — при посещении страницы с платежной информацией на онлайн-платформах:
…и при вызове диалога для отправки данных на принтер. Зараженный компьютер менеджера отеля или атакованные рабочие станции на ресепшн приводят к тому, что ваши личные и платежные данные отправляются не только в архив гостиницы, но и злоумышленникам, — практически в режиме реального времени.
Так действует группа, названная RevengeHotels, а их конкуренты, известные как ProCC, используют код, подобный приведенному на скриншоте выше, еще и для перехвата информации из буфера обмена. Украденные данные дальше поступают на черный рынок — как в виде набора инструментов для доступа к уже зараженной инфраструктуре, так и в виде номеров кредиток, причем особо указывается высокое качество последних.
По статистике сайта Bit.ly, сокращенные URL которого используются в атаках, на зараженные ссылки (рассылаемые точечно) кликнули полторы тысячи раз, так что реальный список жертв может быть и шире. Защита от подобных атак сводится к традиционным советам: регулярное обновление ПО, особый контроль за машинами, на которых обрабатываются приватные данные, и тому подобное. Увы, для отелей это означает дополнительные затраты на сервис и обучение сотрудников.
А вот клиентам эксперты «Лаборатории Касперского» рекомендуют использовать одноразовые средства платежей: это единственный способ защитить себя от кражи средств после посещения «зараженного» отеля. Альтернативным решением может быть (неожиданно) использование оплаты с помощью смартфона (где генерируются временные платежные реквизиты) и оплата с помощью платежных систем, требующих дополнительной авторизации и не передающих номер кредитки.
Что еще произошло:
Платежные плагины для веб-сайтов Magento злоумышленники довольно часто атакуют с целью кражи номеров кредитных карт. На этот раз был
Еще одно исследование «Лаборатории Касперского» привело к закрытию
Найден и исправлен еще один
«Лаборатория Касперского» опубликовала подробный анализ
Создатели блокировщика рекламы uBlock Origin