Atac cibernetic. Turiștii își pierd banii de pe card în receptiile hotelurilor

Un nou fenomen de atac cibernetic prinde amploare la nivel global, relevă un studiu Kaspersky. Infractorii cibernetici fura datele de card ale turistilor din receptiile hotelurilor.

 

Cercetarea Kaspersky asupra campaniei RevengeHotels, ce vizează industria ospitalității, a confirmat că peste 20 de hoteluri din America Latină, Europa și Asia au căzut victime ale unor atacuri malware direcționate.

Este posibil ca un număr mai mare de hoteluri să fie afectate pe tot globul. Datele cardurilor turiștilor, stocate într-un sistem de administrare hotelieră, inclusiv cele primite de la agenții online de turism (OTA), riscă să fie furate și vândute infractorilor din întreaga lume.

Pentru a rămâne în siguranță, turiștii sunt sfătuiți să:

– Utilizeze un card de plată virtual pentru rezervările efectuate prin OTA, deoarece aceste carduri expiră în mod normal după o singură tranzacție.

– Atunci când plătesc o rezervare sau fac check out la recepția hotelului, să utilizeze un portofel virtual, cum ar fi Apple Pay sau Google Pay, sau un card de credit secundar, cu o sumă limitată de bani disponibili.

RevengeHotels este o campanie a diferite grupuri care utilizează troieni tradiționali cu acces de la distanță (RAT) pentru a infecta companiile din sectorul ospitalității. Campania este activă din 2015, dar a început să-și mărească prezența în 2019. Cel puțin două grupuri, RevengeHotels și ProCC, au fost identificate ca făcând parte din campanie, cu toate că există posibilitatea ca mai multe grupuri de infractori cibernetici să fie implicate.

Principalul vector de atac din această campanie este reprezentat de e-mail-uri cu documente infectate – Word, Excel sau PDF. Unele dintre ele exploatează vulnerabilitatea CVE-2017-0199, încărcând-o cu ajutorul script-urilor VBS și PowerShell și apoi instalează versiuni personalizate ale diferitelor RAT-uri, precum și alte programe malware personalizate, cum ar fi ProCC, pe dispozitivul victimei, care ulterior ar putea executa comenzi și configura accesul de la distanță la sistemele infectate.

Fiecare e-mail de spear-phishing a fost elaborat cu o atenție deosebită asupra detaliilor și, de obicei, pretinde a veni din partea unor persoane reale din organizații legitime, făcând o cerere de rezervare falsă pentru un grup numeros. De remarcat este faptul că inclusiv utilizatorii atenți ar putea fi păcăliți să deschidă și să descarce anexele din aceste e-mailuri, deoarece includ o mulțime de detalii (de exemplu, copii ale documentelor legale și motivația pentru care fac rezervarea la hotel) și arată convingător. Singurul detaliu care l-ar da de gol pe atacator ar fi un domeniu de typosquatting al organizației.

Odată infectat, computerul putea fi accesat de la distanță nu doar de grupul de infractori cibernetici – dovezile colectate de cercetătorii Kaspersky arată că accesul de la distanță la recepțiile hotelurilor și la datele pe care le conțin sunt vândute pe forumuri ilegale, pe bază de abonament.