В умелых руках Booking.com стал инструментом для взлома систем отелей и компьютеров путешественников.
Исследователи безопасности Perception Point обнаружили многоэтапную кампанию по краже информации, в ходе которой хакеры взламывают системы отелей, сайтов бронирования и турагентств, а затем используют доступ для получения финансовых данных путешественников.
Согласно отчёту Perception Point, цепочка заражений начинается с простого запроса на бронирование или упоминания существующей брони. После установления связи с отелем преступники предоставляют причину, например, состояние здоровья или особое пожелание путешественника, чтобы отправить важные документы по URL. Когда менеджер отеля переходит по URL-адресу, на систему компании скачивается вредоносное ПО, которое незаметно собирает конфиденциальную информацию, такую как учетные данные и финансовую информацию.
Однако специалисты Akamai заявили, что атака выходит за рамки описанного шага и нацелена на клиентов скомпрометированной организации. По данным Akamai, после активации вредоносного ПО в системе отеля, злоумышленник может получить доступ к переписке с реальными клиентами. Имея прямой и доверенный канал связи с конечной жертвой, киберпреступник может отправить свое фишинговое сообщение от лица скомпрометированного отеля или турагентства.
При этом сообщение «написано профессионально и основано на реальных взаимодействиях отеля с гостями», что исключает любые подозрения. Кроме того, коммуникация происходит через официальный канал сайта бронирования, поэтому у цели нет причин сомневаться в подлинности сообщения.
Фишинговое сообщение (слева) и поддельная страница оплаты Booking.com (справа)
Жертва получает ссылку на страницу для проверки карты. Ссылка активирует на компьютере жертвы исполняемый файл, закодированный (base64) в сложном JavaScript-коде. Злоумышленник также включил множество методов проверки безопасности и антианализа, чтобы убедиться, что только потенциальная жертва переходит к следующему этапу мошенничества, в рамках которого жертве отображается поддельная страница оплаты Booking.com. На этой странице жертва вводит свои платёжные данные, и они попадают в руки киберпреступников.Несмотря на изощренный подход, из-за которого обман очень сложно обнаружить, эксперты Akamai говорят, что обычные признаки все же могут выявить мошенничество. Пользователям следует не переходить по нежелательным ссылкам, даже если они выглядят легитимными, скептически относиться к сообщениям, требующим немедленных действий, и проверять URL-адреса на наличие признаков фишинга. Чтобы не стать жертвой более сложных фишинговых кампаний, рекомендуется напрямую связаться с компанией по официальному адресу электронной почты или номеру телефона и попросить разъяснений по поводу сообщения.
Ладно, не доказали. Но мы работаем над этим