Хакеры-турагенты используют Booking.com для кражи данных путешественников

Исследователи безопасности Perception Point обнаружили многоэтапную кампанию по краже информации, в ходе которой хакеры взламывают системы отелей, сайтов бронирования и турагентств, а затем используют доступ для получения финансовых данных путешественников.

Согласно отчёту Perception Point, цепочка заражений начинается с простого запроса на бронирование или упоминания существующей брони. После установления связи с отелем преступники предоставляют причину, например, состояние здоровья или особое пожелание путешественника, чтобы отправить важные документы по URL. Когда менеджер отеля переходит по URL-адресу, на систему компании скачивается вредоносное ПО, которое незаметно собирает конфиденциальную информацию, такую как учетные данные и финансовую информацию.

Однако специалисты Akamai заявили, что атака выходит за рамки описанного шага и нацелена на клиентов скомпрометированной организации. По данным Akamai, после активации вредоносного ПО в системе отеля, злоумышленник может получить доступ к переписке с реальными клиентами. Имея прямой и доверенный канал связи с конечной жертвой, киберпреступник может отправить свое фишинговое сообщение от лица скомпрометированного отеля или турагентства.

При этом сообщение «написано профессионально и основано на реальных взаимодействиях отеля с гостями», что исключает любые подозрения. Кроме того, коммуникация происходит через официальный канал сайта бронирования, поэтому у цели нет причин сомневаться в подлинности сообщения.

Фишинговое сообщение (слева) и поддельная страница оплаты Booking.com (справа)

Жертва получает ссылку на страницу для проверки карты. Ссылка активирует на компьютере жертвы исполняемый файл, закодированный (base64) в сложном JavaScript-коде. Злоумышленник также включил множество методов проверки безопасности и антианализа, чтобы убедиться, что только потенциальная жертва переходит к следующему этапу мошенничества, в рамках которого жертве отображается поддельная страница оплаты Booking.com. На этой странице жертва вводит свои платёжные данные, и они попадают в руки киберпреступников.

Несмотря на изощренный подход, из-за которого обман очень сложно обнаружить, эксперты Akamai говорят, что обычные признаки все же могут выявить мошенничество. Пользователям следует не переходить по нежелательным ссылкам, даже если они выглядят легитимными, скептически относиться к сообщениям, требующим немедленных действий, и проверять URL-адреса на наличие признаков фишинга. Чтобы не стать жертвой более сложных фишинговых кампаний, рекомендуется напрямую связаться с компанией по официальному адресу электронной почты или номеру телефона и попросить разъяснений по поводу сообщения.