Preko lažnih Booking.com i Expedia stranica kradu podatke i novac gostima hotela
Stručnjaci upozoravaju na novu, sofisticiranu phishing kampanju koja cilja hotele i njihove goste. Napadači koriste malware za krađu podataka s Booking.com-a te zatim šalju lažne poruke gostima kako bi se domogli njihovih financijskih informacija
U tijeku je iznimno napredna kampanja koja cilja hotelsku industriju, a napadači koriste kombinaciju zlonamjernog softvera i phishinga kako bi došli do pristupnih podataka i financijskih informacija gostiju. Prema izvješću stručnjaka za kibernetičku sigurnost iz tvrtke Sekoia, ova operacija, nazvana ClickFix, pogađa i hotele i njihove klijente koji koriste popularne platforme poput Booking.com-a i Expedije.
Istraživači su otkrili kako napadači prvo koriste nasumične, prethodno kompromitirane e-mail račune kako bi hotelima i vlasnicima Booking.com računa poslali phishing poruku. Link u poruci pokreće lanac preusmjeravanja koji žrtvu na kraju dovodi do lažne reCAPTCHA provjere, osmišljene kako bi ih se navelo na preuzimanje i instalaciju trojanca za daljinski pristup (RAT) pod nazivom PureRAT. Kako bi osigurali da ciljaju prave osobe, napadači na forumima na dark webu, poput LolzTeama, kupuju informacije o administratorima Booking.com objekata.
"Booking.com extranet računi igraju ključnu ulogu u shemama prijevara koje ciljaju ugostiteljsku industriju," objasnili su istraživači iz Sekoia-e. "Posljedično, podaci prikupljeni s tih računa postali su unosna roba koja se redovito nudi na prodaju na ilegalnim tržištima."
Jednom instaliran, PureRAT je izuzetno opasan – napadačima omogućuje daljinski pristup računalu, kontrolu miša i tipkovnice, aktivaciju web kamere i mikrofona za snimanje zvuka i videa, bilježenje pritisaka na tipke (keylogging) te preuzimanje i slanje dodatnih datoteka.
Čini se da napadači ovaj malware primarno koriste kako bi mapirali goste hotela. Nakon što prikupe stvarne detalje o rezervacijama, počinju slati personalizirane e-mailove i WhatsApp poruke gostima. Budući da poruke sadrže točne informacije o njihovom boravku, prijevare djeluju vrlo uvjerljivo. Te poruke također sadrže phishing linkove koji žrtve preusmjeravaju na lažne stranice koje oponašaju Booking.com ili Expediju. Ako se gost pokuša prijaviti, napadači kradu njegove korisničke podatke, kao i informacije o kreditnoj kartici.
Trenutno nije poznato koliko je točno hotela ili gostiju pogođeno ovom kampanjom. Ipak, prema podacima koje je objavio TechRadar, kampanja je aktivna najmanje od travnja 2023. godine, a u punom je pogonu od početka listopada iste godine. Korisnicima se savjetuje izniman oprez prilikom otvaranja poruka koje traže hitnu akciju ili unos podataka, čak i ako se čine potpuno legitimnima.
