Booking.com pod napadom

Jedna od najvećih Internet turističkih agencija Booking.com je pod napadom zlonamjernih aktera koji pokušavaju da dođu do informacija o platim kraticama korisnika ove Internet platforme. Treba naglasiti da sama platforma nije direktno ugrožena, već zlonamjerni akteri ciljaju partnerske hotele. Oni su pronašli način da ukradu podatke za prijavu hotela na ovu platformu, a onda ih koriste da priđu klijentima pretvarajući se da su hotelsko osoblje.

Booking.com

Booking.com pod napadom; Source: Bing Image Creator

BOOKING.COM HOTELSKA PREVARA

Zlonamjerni akteri napadaju partnerske hotele platforme Booking.com tako što pozivaju recepciju hotela i pretvaraju se da su gost koji je nedavno napustio hotel, ali je zaboravio vrijedan predmet. Nakon toga se recepciji hotela šalje elektronska pošta sa vezom do datoteke sačuvane na Google disku na kojoj se navodno nalazi slika navodnog zaboravljenog predmeta.

Međutim, radnik na recepciji koji klikne na ovu vezu, umjesto slike otvara zlonamjernu datoteku sa Vidar kradljivcem informacija koji automatski preuzima podatke za prijavu na platformu Booking.com iz hotelskog sistema i šalje zlonamjernim akterima. Na ovaj način zlonamjerni akteri dobijaju pristupi portalu za upravljanje na platformi Booking.com, pristupi listi predstojećih rezervacija i direktno kontaktiraju sa gostima sa rezervacijom.

Komunikacija između zlonamjernih aktera i gostiju hotela sa rezervacijom se odvija na način da oni kontaktiraju goste hotela tražeći od njih da plate lažne naknade. Umjesto da pošalju žrtve na Booking.com ili na stvarnu Internet lokaciju hotela da obradi uplatu, zlonamjerni akteri prosljeđuju žrtvu na lažnu Internet lokaciju ili telefonom uzimaju podatke o kreditnoj kartici. Napad je veoma uspješan jer gosti ne shvataju da su prevareni. Poruke dolaze sa legitimnih, ali nažalost hakovanih naloga hotela navedenih na Booking.com platformi.

 

“Dan nakon što je zlonamjerni softver pokrenut, zaposleni u hotelu primijetio je da je sa hotelskog Booking.com naloga poslato više poruka predstojećim gostima. Nekoliko sati kasnije, gosti hotela su počeli da se žale da im je novac skinut sa računa.”

 Secureworks

 

Sigurnosni istraživači su primijetili da se ukradeni podaci za prijavljivanje na Booking.com platformu prodaju na Mračnom Internetu za oko 2.000 američkih dolara, što ukazuje da je napad veoma uspješan.

 

VIDAR KRADLJIVAC

Vidar je vrsta zlonamjernog softvera namijenjen za krađu informacija koji funkcioniše na modelu preplate, odnosno zlonamjerni softver kao usluga (eng. Malware-as-a-Service – MaaS) koji je prvi put otkriven krajem 2018. godine. Zlonamjerni softver funkcioniše na Windows operativnom sistemu i može da prikuplja širok spektar osjetljivih podataka iz pretraživača i digitalnih novčanika, a koristi se i za preuzimanje ransomware zlonamjernog softvera. Od svog nastanka 2018. godine izrastao je u u jednog od najuspješnijih kradljivaca informacija u svijetu, tako da je prema Check Point izvještaju iz 2022. godine bio četvrti zlonamjerni softver za krađu informacija.

Vidar zlonamjerni softver se obično dostavlja putem elektronske pošte, u ovom slučaju sakriven u ZIP datoteci koja se preuzima sa Google diska. Kada se zlonamjerni softver pokrene na uređaju korisnika, on koristi nekoliko različitih tehnika za zaštitu od otkrivanja. Jedna od njih je korištenje velike izvršne datoteke – dizajnirane da natjera antivirusne softvere da preskoče skeniranje zbog veličine datoteke. Druga tehnika koja se često koristi je korištenje datoteke sa digitalnim potpisom, potpisane sa isteklim i potencijalno ukradenim digitalnim certifikatom. U ovom napadu Vidar zlonamjerni softver je konfigurisan samo za krađu lozinki, a analiza konfiguracijske datoteke pokazuje da ovaj zlonamjerni softver u ovom napadu koristi Steam i Telegram naloge kao server za komandu i kontrolu – C2.

 

ZAKLJUČAK

Sigurnosni istraživači smatraju da je ova aktivnost dio šire kampanje koja je započela prije najmanje godinu dana, primjenjujući da su klijenti više objekata primali elektronsku poštu ili poruke u aplikaciji od Booking.com u kojima su zlonamjerni akteri zahtijevali potvrdu detalja plaćanja za predstojeće boravke. Ove poruke su sadržale zlonamjerne Internet adrese za unos detalja o platnim karticama, a zlonamjerni akteri su koristili ove informacije da podignu novac sa računa žrtava.

Napad je usmjeren na partnerske hotele platforme Booking.com i njihove goste iz više zemlja širom svijeta, uključujući SAD, Veliku Britaniju, kao i mnoge azijske i evropske zemlje.

 

“Ovo je društveni inženjering u svom najboljem izdanju. Prvo, ciljanje zaposlenih u hotelima koji žele da pomognu svojim klijentima, pa će brzo djelovati. A onda ciljanje praznika, jedne od najvećih investicija koje ljudi čine. Kada stigne elektronska pošta od pouzdanog kontakta koji zahteva akciju ili će praznik biti otkazan, razumljivo je da bi neko mogao da odgovori bez razmišljanja.”

Rafe Pilling, director of threat intelligence for Secureworks Counter Threat Unit

 

ZAŠTITA

Organizacije u ugostiteljskom sektoru i klijenti koji koriste Booking.com platformu mogu pratiti sljedeće savjete kako bi se zaštitili.

 

Organizacije u ugostiteljskom sektoru

  • Zlonamjerni softver se obično distribuira putem phishing napad preko elektronske pošte ili lažnih preuzimanja legitimnog softvera. Potrebno je sprovesti obuku zaposlenih da prepoznaju i pravilno reaguju na zlonamjerne priloge i da izbjegavaju piratski softver,
  • Pošto je najčešći vektor napada putem ciljanog phishing napada preko elektronske pošte potrebno je koristiti sigurnosna riješenja za bezbjednost elektronske pošte. Ova rješenja provjeravaju priloge elektronske pošte na prisustvo zlonamjernog sadržaja, mogu da ga identifikuju i blokiraju prije nego što stigne do prijemnog sandučeta korisnika,
  • Vidar zlonamjerni softver ima mogućnost preuzimanja i izvršavanja drugih vrsta zlonamjernog softvera, zato je potrebno koristiti provjerena sigurnosna riješenja koja mogu pomoći a se blokiraju zlonamjerna preuzimanja i očiste infekcije na računaru,
  • Potrebno je koristiti jake i kompleksne lozinke. Vidar zlonamjerni softver vrši krađu lozinki iz različitih izvora na uređaju, ali su to obično haš vrijednosti, a ne lozinke u svom izvornom čitljivom obliku. Upotreba jakih, dugih i nasumičnih lozinki može otežati napadaču da ih pokuša dobiti poređenjem haš vrijednosti,
  • Upotreba autentifikacija u više koraka (eng. Multi-Factor Authentication – MFA) može otežati zlonamjernim akterima upotrebu ukradenih lozinki.

 

Klijenti

  • Biti oprezan sa sa elektronskom poštom ili porukama u aplikacijama koje zahtijevaju detalje o plaćanju, čak i ako izgleda da potiču iz legitimnog izvora. Legitimni hoteli rijetko zahtijevaju od krajnjih kupaca da dijele lične podatke, a legitimne transakcije treba da budu u mogućnosti da se obrađuju preko portala za plaćanje na Internetu,
  • U slučaju sumnje u zahtjev u kojem se traži unos korisničkog imena i lozinke ili podatka o kreditnoj kartici, potrebno je kontaktirati poslovnu organizaciju drugim kanalom komunikacije i provjeriti legitimnost zahtjeva.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.