Осторожно, новый вид мошенничества! Киберпреступники используют поддельный сайт booking.com и воруют данные
Специалисты по кибербезопасности раскрыли многоступенчатую кампанию по хищению данных, в ходе которой хакеры внедряются в системы отелей, сайтов бронирования и туристических агентств, а затем используют этот доступ для получения финансовых данных клиентов, пишет Forte.
Следователи зафиксировали кампании по краже данных, нацеленные на гостиничный сектор (например, отели, туристические агентства). Все начинается с простого запроса на бронирование или ссылки на уже существующее бронирование, утверждают исследователи из компании Perception Point, занимающейся вопросами кибербезопасности, в своем отчете, опубликованном в начале этого месяца.
После того как взаимодействие с отелем налажено, преступники ссылаются на какую-то причину, например, медицинское состояние или особую просьбу одного из путешественников, и отправляют якобы важные документы по ссылке. Этот URL ведет на вредоносную программу для кражи информации и собирает конфиденциальные данные, например, финансовые.
„Как только первоначальная цель достигнута, злоумышленник получает доступ к отправке сообщений клиентам“, - говорит Ширан Гез, старший менеджер по информационной безопасности интернет-компании Akamai.
Получив прямой и надежный канал связи с конечной жертвой, злоумышленники могут отправить фишинговое сообщение, замаскированное под законный запрос от скомпрометированного отеля, службы бронирования или туристического агентства.
В сообщении содержится запрос на дополнительное подтверждение кредитной карты и используются обычные компоненты обманных текстов: требование немедленных действий и убедительное обоснование их необходимости.
Гез отмечает, что сообщение написано в профессиональной манере и построено по образцу реального взаимодействия отеля с гостями, что исключает любые подозрения в мошенничестве. Поскольку сообщение приходит с сайта бронирования по официальному каналу, у жертвы нет причин сомневаться в его подлинности.
По словам Геза, жертва получает ссылку для псевдопроверки карты и сохранения бронирования. Ссылка запускает на устройстве жертвы файл, закодированный в сложном скрипте JavaScript - base64.
Кроме того, мошенники добавили ряд методов проверки и антианализа безопасности, чтобы только потенциальные жертвы попадали на следующий этап аферы - поддельную страницу оплаты Booking.com.
По мнению экспертов по кибербезопасности, пользователям следует избегать перехода по нежелательным ссылкам, даже если последние выглядят правдоподобно, с подозрением относиться к сообщениям, требующим немедленных действий, и проверять URL-адреса.
