В началото на тази есен ви съобщихме за серия от

В началото на тази есен ви съобщихме за серия от офанзиви към консуматори на услугите на Booking.com и посетители на партньорските им хотели по целия свят. Ставаше дума за огромна хакерска акция, засегнала стотици, в случай че не и хиляди нищо неподозиращи хора, чиито банкови сметки са били източвани от киберпрестъпниците. А в този момент експерти по сигурност сигнализират за нова серия от офанзиви. Настоящите офанзиви евентуално са част акцията, за която оповестиха от Perception Point през септември, като този път компанията за сигурност, която предава новината е Secureworks. Векторът на офанзивата е подобен: хакер подмамва човек от рецепцията или отдела за обслужване на клиенти да отвори файл, който се явява зловредна стратегия, крадяща персонална информация. Следва щурм на Booking.com акаунта на съответния обект и изпращане от профила на услугата на хотела правдиво изглеждащ имейл към гостите на хотела. И тъй като писмото идва от законен източник, въпреки и злепоставен, жертвата се доверява и изпраща финансова информация на нарушителя, а банковата му сметка бива източена.

Secureworks дават образец за съответен жанр офанзива от октомври, при която хакерът изпраща на хотела писмо, в което представяща се за някогашен посетител на хотела незнайна страна желае помощ за намирането на персонална карта, която се твърди, че е изгубена точно там. От отдела за връзка с клиентите на съответния обект дават отговор с писмо, в което се желаят детайлности за въпросната карта. И тук идва момента на офанзивата. Атакуващата страна връща отговор с ново писмо с детайлности за документа и връзка към Гугъл Drive, в която се твърди, че се обитават данни за резервацията и фотография на документа. Това, до което доближават от рецепцията е предпазен с ключова дума списък, в който се обитават няколко файла. Разархивирането на файла довело до засичането на Microsoft Defender инсталацията на компютъра, че един от тези файлове (photo_2023-09-01_13-21-32.scr) е зловредна стратегия от фамилията на Vidar – програмен продукт, употребен за кражба на данни. След няколко несполучливи опита да се извърши, Vidar се конфигурирал на системата обаче. Подробности за какво е съумяла инсталацията на Vidar, макар реакцията на антивирусната стратегия, Secureworks не дават. Ден по-късно чиновник на хотела забелязал, че от Booking.com профила им са били разпратени голям брой писма към техни посетители. Малко по-късно последвали и десетки недоволства от посетители на хотела, че от банковите им карти са били източвани суми. Конкретният хотел е можел да резервира своята известност и парите на клиентите си с едно просто деяние, пишат Secureworks – в случай че са били задействали двуфакторна отбрана при достъп на профила им е услугата – нещо, което те очевидно не са създали.

„ Наблюденията на Secureworks демонстрират, че атакуващата страна евентуално е откраднала записите за регистриране административния портал за ръководство на акаунта на хотела в Booking.com и са употребявали този достъп, с цел да нападат клиентите на обекта “, пишат създателите на отчета. По този метод те можели да видят всички идни поръчки и се свържат с жертвите посредством имейл или приложението, а писмата идвали непосредствено от noreply @ booking. Com, което ускорява степента на доверие в тях. Secureworks следят също по този начин съществено оживление в даркуеб хакерските конгреси, където има към този момент огромно търсене на admin. Bookings. Com записи и подготвени записи, извличани от шпиониращи стратегии, като цената им стига до $5000 и повече. Тази засилена интензивност в хакерските конгреси е повода Secureworks да считат, че тази акцията евентуално ще усили жертвите си в идващите месеци. Специалистите от компанията предлагат на организациите в бранша да уведомяват чиновниците си за този вид офанзиви и акцията, като останат бдителни за всевъзможни опити за машинация. Според тях, включването на двуфакторна отбрана за Booking.com сметките им евентуално ще спре компрометирането на регистрациите им в услугата. Що се отнася до елементарните консуматори на услугата, те би трябвало да внимават за всевъзможни идващи известия с искане за заплащане. Secureworks дават съответните IP адреси, уебстраници и знаци на в началото компрометиране в засечените от тях офанзиви, което може да послужи за предотвратяване от офанзиви.