Изследователи в областта на сигурността са открили многоетапна кампания за кражба на информация, при която хакери проникват в системите на хотели, сайтове за резервации и туристически агенции и след това използват достъпа си, за да достъпват финансови данни на милиони клиенти.

Използвайки този заобиколен подход и фалшива страница за плащане в Booking.com, пише Bleeping Computer, киберпрестъпниците са открили комбинация, която им осигурява значително по-голям успех при събирането на информация за кредитни карти.

Фишинг от следващо ниво

Обикновено изследователите засичат кампании за кражба на информация, насочени към хотелиерската индустрия - основно хотели и туристически агенции, използващи т.нар. "усъвършенствани техники за социално инженерство", за да доставят зловреден софтуер за кражба на информация до таргетираните компютри.

Те започват с обикновено запитване за извършване на резервация или препраща към вече съществуваща такава, казват изследователите от Perception Point, занимаващи се с киберсигурност, в доклад от началото на този месец.

За седмица: Хакери удариха две водещи вериги за казина и хотели Caesars Entertainment е платила


След като установят комуникация с хотела, престъпниците посочват някаква причина, като например медицинско състояние или специално изисквано за някой от гостите удостоверение, за да изпратят важни документи чрез URL адрес.

URL адресът обаче отваря вратата за зловреден софтуер за кражба на информация, който "е проектиран да работи незабележимо" и събира чувствителни данни като идентификации или финансова информация.

В нов доклад от тази седмица изследователи от интернет компанията Akamai казват, че атаката надхвърля описания по-горе модел и преминава направо към клиентите на компрометираната структура.

"След като infostealer се изпълни върху първоначалната цел (хотела), атакуващият може да получи достъп до съобщения с легитимни клиенти", казва Ширан Гуез, старши мениджър по информационна сигурност в Akamai.

Имайки директен и доверен канал за комуникация с крайната жертва, киберпрестъпниците могат да изпратят своето фишинг съобщение, маскирано като легитимна заявка от вече компрометирания хотел, услуга за резервации или туристическа агенция.

Съобщението изисква допълнителна проверка на кредитната карта и разчита на общите съставки на фишинг текста: изисква незабавни действия и използва разумна обосновка, за да тях.

Край с хазяите: Хакери на къщи атакуват пазара на наеми и правят бързи париХакерството е опит за ребрандиране и „дезинфекция“ на идеята за класически хазяин с асоциация към технологичен прогрес, а не плешив чичко в коридора, който ви гони за наема


Гуез отбелязва, че съобщението "е написано професионално и е моделирано според истинските взаимодействия на хотелите с техните гости", което елиминира всички подозрения у жертвата.

"Важно е да запомните, че това съобщение идва от самата платформа за съобщения на сайта за резервации", подчертава изследователят. А, тъй като съобщението идва от сайта за резервации по официален канал, таргетираният потребител няма причина да се съмнява в неговата легитимност.

Жертвата получава линк за предполагаемата проверка на картата, за да запази резервацията. Връзката задейства на машината на жертвата изпълним файл, който е кодиран в сложен JavaScript base64 скрипт. Целта на скрипта е да открие информация за средата на сърфиране и е разработен така, че да затрудни значително откриването си.

Нападателите включват и множество техники за прескачане на проверката на сигурността и антианализ, за да се уверят, че само потенциалните жертви достигат до следващия етап на измамата, който показва фалшива страница за плащане в Booking.com.

Въпреки по-усъвършенствания подход, който прави пробивът много труден за забелязване, Гуез казва, че обичайните признаци, показващи потенциална измама, все пак могат да сигнализират на потребителите.

„Потребителите трябва да избягват да кликат върху непоискани връзки, дори ако изглеждат легитимни, да бъдат подозрителни към спешни или заплашителни съобщения, изискващи незабавни действия, и да проверяват URL адресите за индикатори за измама. За да сте сигурни, че няма да станете жертва на по-сложни фишинг кампании, препоръчителното действие е да се свържете директно с компанията на официален имейл адрес или телефонен номер и да поискате разяснения относно съобщението“, съветват експертите.