Ερευνητές ασφαλείας ανακάλυψαν μια εκστρατεία κλοπής πληροφοριών πολλαπλών βημάτων όπου οι χάκερ παραβιάζουν τα συστήματα ξενοδοχείων, τοποθεσιών κρατήσεων και ταξιδιωτικών γραφείων και στη συνέχεια χρησιμοποιούν την πρόσβασή τους για να αναζητήσουν οικονομικά δεδομένα που ανήκουν σε πελάτες.
Χρησιμοποιώντας αυτήν την έμμεση προσέγγιση και μια ψεύτικη σελίδα πληρωμής της Booking.com, οι εγκληματίες του κυβερνοχώρου βρήκαν έναν συνδυασμό που εξασφαλίζει σημαντικά καλύτερο ποσοστό επιτυχίας στη συλλογή πληροφοριών πιστωτικής κάρτας.
Ψάρεμα επόμενου επιπέδου
Συνήθως, οι ερευνητές παρατήρησαν εκστρατείες κλοπής πληροφοριών που στόχευαν τον κλάδο της φιλοξενίας (π.χ. ξενοδοχεία, ταξιδιωτικά γραφεία) χρησιμοποιώντας «προηγμένες τεχνικές κοινωνικής μηχανικής» για την παροχή κακόβουλου λογισμικού κλοπής πληροφοριών.
Ξεκινά με ένα απλό ερώτημα για να κάνετε μια κράτηση ή αναφέρεται σε μια υπάρχουσα, λένε οι ερευνητές στο Perception Point για την ασφάλεια στον κυβερνοχώρο. κανω ΑΝΑΦΟΡΑ νωρίτερα αυτό το μήνα.
Αφού επικοινωνήσουν με το ξενοδοχείο, οι εγκληματίες επικαλούνται έναν λόγο, όπως μια ιατρική κατάσταση ή ένα ειδικό αίτημα για έναν από τους ταξιδιώτες, να στείλει σημαντικά έγγραφα μέσω μιας διεύθυνσης URL.
Η διεύθυνση URL οδηγεί σε κακόβουλο λογισμικό κλοπής πληροφοριών που «έχει σχεδιαστεί για να λειτουργεί κρυφά» και συλλέγει ευαίσθητα δεδομένα όπως διαπιστευτήρια ή οικονομικές πληροφορίες.
Σε μια νέα έκθεση αυτή την εβδομάδα, ερευνητές της εταιρείας διαδικτύου Akamai λένε ότι η επίθεση ξεπερνά το βήμα που περιγράφηκε παραπάνω και στοχεύει τους πελάτες της παραβιασμένης οντότητας.
«Μετά την εκτέλεση του infotealer στον αρχικό στόχο (το ξενοδοχείο), ο εισβολέας μπορεί να έχει πρόσβαση σε μηνύματα με νόμιμους πελάτες» – Shiran Guez, ανώτερος διευθυντής ασφάλειας πληροφοριών στην Akamai
Έχοντας ένα άμεσο και αξιόπιστο κανάλι επικοινωνίας με το τελικό θύμα, οι εγκληματίες του κυβερνοχώρου μπορούν να στείλουν το μήνυμά τους για phishing μεταμφιεσμένο ως νόμιμο αίτημα από το πλέον παραβιασμένο ξενοδοχείο, υπηρεσία κρατήσεων ή ταξιδιωτικό γραφείο.
Το μήνυμα ζητά μια πρόσθετη επαλήθευση πιστωτικής κάρτας και βασίζεται στα κοινά συστατικά ενός κειμένου phishing: απαιτεί άμεση δράση και χρησιμοποιεί ορθή λογική για να το εξηγήσει.
Ο Guez σημειώνει ότι το μήνυμα “είναι γραμμένο επαγγελματικά και έχει διαμορφωθεί σύμφωνα με τις αυθεντικές αλληλεπιδράσεις του ξενοδοχείου με τους επισκέπτες του”, το οποίο εξαλείφει κάθε υποψία για ένα τέχνασμα.
πηγή: Akamai
«Είναι σημαντικό να θυμόμαστε ότι αυτό το μήνυμα προέρχεται από την ίδια την πλατφόρμα μηνυμάτων του ιστότοπου κράτησης», τονίζει ο ερευνητής.
Δεδομένου ότι η επικοινωνία προέρχεται από τον ιστότοπο κράτησης μέσω του επίσημου καναλιού, ο στόχος δεν έχει κανένα λόγο να αμφιβάλλει για τη νομιμότητά του.
Ψεύτικη σελίδα Booking.com
Guez λέει ότι το θύμα λαμβάνει έναν σύνδεσμο για την υποτιθέμενη επαλήθευση της κάρτας για να διατηρήσει την κράτηση. Ο σύνδεσμος ενεργοποιεί στο μηχάνημα-θύμα ένα εκτελέσιμο αρχείο που είναι κωδικοποιημένο σε ένα πολύπλοκο σενάριο JavaScript base64.
Ο ερευνητής τονίζει ότι ο σκοπός του σεναρίου είναι να ανιχνεύει πληροφορίες σχετικά με το περιβάλλον περιήγησης και έχει σχεδιαστεί για να κάνει την ανάλυση σημαντικά πιο δύσκολη.
Ο εισβολέας περιέλαβε επίσης πολλαπλές τεχνικές επικύρωσης ασφαλείας και αντι-ανάλυσης για να βεβαιωθεί ότι μόνο τα πιθανά θύματα φτάνουν στο επόμενο στάδιο της απάτης, το οποίο εμφανίζει μια ψεύτικη σελίδα πληρωμής της Booking.com.
πηγή: Akamai
Παρά την πιο εξελιγμένη προσέγγιση που κάνει το κόλπο πολύ δύσκολο να εντοπιστεί, ο Guez λέει ότι τα κανονικά σημάδια που υποδεικνύουν μια πιθανή απάτη θα μπορούσαν να αποκαλύψουν την απάτη.
Οι χρήστες θα πρέπει να αποφεύγουν να κάνουν κλικ σε αυτόκλητους συνδέσμους, ακόμη και αν φαίνονται νόμιμοι, να είναι ύποπτοι για επείγοντα ή απειλητικά μηνύματα που ζητούν άμεση δράση και να ελέγχουν τις διευθύνσεις URL για ενδείξεις εξαπάτησης.
Ωστόσο, για να διασφαλίσετε ότι δεν θα πέσετε θύμα πιο περίπλοκων καμπανιών ηλεκτρονικού ψαρέματος, η προτεινόμενη ενέργεια είναι να επικοινωνήσετε απευθείας με την εταιρεία σε μια επίσημη διεύθυνση ηλεκτρονικού ταχυδρομείου ή έναν αριθμό τηλεφώνου και να ζητήσετε διευκρινίσεις σχετικά με το μήνυμα.
