Stručnjaci upozoravaju na novu, sofisticiranu phishing kampanju koja cilja hotele i njihove goste. Napadači koriste malware (zlonamjerni softver) za krađu podataka sa Bookinga, a zatim šalju lažne poruke gostima kako bi se domogli njihovih finansijskih informacija.
ADVERTISEMENT
Prema izvještaju stručnjaka za cyber sigurnost iz kompanije Sekoia, ova operacija, nazvana ClickFix, pogađa i hotele i njihove klijente koji koriste popularne platforme poput Booking.com i Expedije.
Istraživači su otkrili da napadači prvo koriste nasumične, prethodno kompromitovane e-mail naloge kako bi hotelima i vlasnicima Booking naloga poslali phishing poruku. Link u poruci pokreće lanac preusmjeravanja koji žrtvu na kraju vodi do lažne reCAPTCHA provjere, osmišljene da ih navede na preuzimanje i instalaciju trojanca za daljinski pristup (RAT) pod nazivom PureRAT.
Kako bi osigurali da ciljaju prave osobe, napadači na forumima na dark webu, poput LolzTeama, kupuju informacije o administratorima Booking.com objekata.
"Booking.com extranet nalozi igraju ključnu ulogu u šemama prevara koje ciljaju ugostiteljsku industriju", objasnili su istraživači iz Sekoia-e.
"Posljedično, podaci prikupljeni sa tih naloga postali su unosna roba koja se redovno nudi na prodaju na ilegalnim tržištima", navode oni.
Jednom instaliran, PureRAT je izuzetno opasan – napadačima omogućava daljinski pristup računaru, kontrolu miša i tastature, aktivaciju web kamere i mikrofona za snimanje zvuka i videa, bilježenje pritisaka na tastere (keylogging) te preuzimanje i slanje dodatnih fajlova.
Čini se da napadači ovaj malware prvenstveno koriste kako bi mapirali goste hotela. Nakon što prikupe stvarne detalje o rezervacijama, počinju da šalju personalizovane e-mailove i WhatsApp poruke gostima.
Pošto poruke sadrže tačne informacije o njihovom boravku, prevare djeluju veoma uvjerljivo. Te poruke takođe sadrže phishing linkove koji žrtve preusmjeravaju na lažne stranice koje imitiraju Booking.com ili Expediju. Ako se gost pokuša prijaviti, napadači kradu njegove korisničke podatke, kao i informacije o kreditnoj kartici.
Trenutno nije poznato koliko je tačno hotela ili gostiju pogođeno ovom kampanjom, piše Bug.hr.
Ipak, prema podacima koje je objavio TechRadar, kampanja je aktivna najmanje od aprila 2023. godine, a u punom je pogonu od početka oktobra iste godine.
Korisnicima se savjetuje izuzetan oprez prilikom otvaranja poruka koje traže hitnu akciju ili unos podataka, čak i ako djeluju potpuno legitimno.