Експертите предупредуваат за нова, софистицирана фишинг кампања насочена кон хотелите и нивните гости. Напаѓачите користат малициозен софтвер за да крадат податоци од Booking.com, а потоа испраќаат лажни пораки до гостите за да ги добијат нивните финансиски информации.
Според извештајот на експертите за сајбер безбедност Sekoia, операцијата, наречена ClickFix, е насочена и кон хотелите и кон нивните клиенти кои користат популарни платформи како Booking.com и Expedia.
Истражувачите откриле дека напаѓачите прво користат случајни, претходно компромитирани е-поштенски сметки за да им испратат фишинг порака на хотелите и сопствениците на сметки на Booking.com. Врската во пораката активира синџир на пренасочувања што на крајот ја води жртвата до лажна reCAPTCHA проверка, дизајнирана да ги измами да преземат и инсталираат тројанец за далечински пристап (RAT) наречен PureRAT.
За да се осигурат дека ги таргетираат вистинските луѓе, напаѓачите на форумите на dark web како LolzTeam купуваат информации за администраторите на имоти на Booking.com.
„Екстранет сметките на Booking.com играат клучна улога во шемите за измама насочени кон угостителската индустрија“, објаснија истражувачите на Sekoia.
„Како резултат на тоа, податоците собрани од овие сметки станаа профитабилна стока што редовно се нуди на продажба на нелегални пазари“, рекоа тие.
Откако ќе се инсталира, PureRAT е исклучително опасен – им овозможува на напаѓачите далечински да пристапат до компјутерот, да го контролираат глувчето и тастатурата, да ја активираат веб-камерата и микрофонот за снимање аудио и видео, да снимаат притискања на тастатурата (keylogging) и да преземаат и испраќаат дополнителни датотеки.
Се чини дека напаѓачите првенствено го користат овој малициозен софтвер за да ги таргетираат гостите на хотелот. Откако ќе соберат вистински детали за резервацијата, тие почнуваат да испраќаат персонализирани е-пораки и WhatsApp пораки до гостите.
Бидејќи пораките содржат точни информации за нивниот престој, измамите се многу убедливи. Овие пораки содржат и фишинг врски што ги пренасочуваат жртвите кон лажни страници што имитираат Booking.com или Expedia. Ако гостин се обиде да се најави, напаѓачите ги крадат неговите кориснички податоци, како и информации за кредитната картичка.
Во моментов не е познато точно колку хотели или гости биле погодени од оваа кампања, пишува Bug.hr.
Сепак, според податоците објавени од TechRadar, кампањата е активна барем од април 2023 година, а е во целосна функција од почетокот на октомври истата година.
На корисниците им се препорачува да бидат исклучително внимателни при отворање на пораки што бараат итна акција или внесување податоци, дури и ако изгледаат сосема легитимни.
