Güvenlik araştırmacıları, bilgisayar korsanlarının otel sistemlerini, rezervasyon sitelerini ve seyahat acentelerini ihlal ettikleri ve daha sonra müşterilere ait finansal verilerin peşinden gitmek için erişimlerini kullandıkları çok aşamalı bir bilgi çalma kampanyası keşfetti.
Bu dolaylı yaklaşımı ve sahte bir Booking.com ödeme sayfasını kullanarak, siber suçlular, kredi kartı bilgilerinin toplanmasında önemli ölçüde daha iyi bir başarı oranı sağlayan bir kombinasyon bulmuşlardır.
Tipik olarak, araştırmacılar, Info-Duruşan kötü amaçlı yazılımlar sunmak için “ileri sosyal mühendislik tekniklerini” kullanarak misafirperverlik endüstrisini (örneğin oteller, seyahat acenteleri) hedefleyen info-stealer kampanyaları gözlemlediler.
Siber Güvenlik Algılama Noktası'ndaki araştırmacılar, bu ayın başlarında bir raporda, rezervasyon yapmak için basit bir sorgu ile başlar veya mevcut bir soru anlamına gelir.
Otel ile iletişim kurduktan sonra, suçlular, tıbbi durum veya gezginlerden birinin özel bir talep gibi bir neden gibi bir nedeni, URL aracılığıyla önemli belgeler göndermek için çağırıyor.
URL, “gizli çalışacak şekilde tasarlanmış” ve kimlik bilgileri veya finansal bilgiler gibi hassas verileri toplayan bilgi yönlendiren kötü amaçlı yazılımlara yol açar.
Bu hafta yeni bir raporda, İnternet şirketi Akamai'deki araştırmacılar, saldırının yukarıda açıklanan adımın ötesine geçtiğini ve tehlikeye atılan varlığın müşterilerini hedeflemek için hareket ettiğini söylüyor.
“Infostealer orijinal hedefte (otel) yürütüldükten sonra, saldırgan meşru müşterilerle mesajlaşmaya erişebilir” - Shiran Guez, Akamai'nin bilgi güvenliği kıdemli yöneticisi
Son kurbanla doğrudan ve güvenilir bir iletişim kanalına sahip olan siber suçlu, kimlik avı mesajlarını, şimdi işbirliği yapan otel, rezervasyon hizmeti veya seyahat acentesinden meşru bir talep olarak gizlenmiş olarak gönderebilir.
Mesaj ek bir kredi kartı doğrulaması ister ve bir kimlik avı metninin ortak bileşenlerine dayanır: anında işlem gerektirir ve açıklamak için ses mantığı kullanır.
Guez, mesajın “profesyonel olarak yazıldığını ve misafirleriyle gerçek otel etkileşimlerinden sonra modellendiğini” belirtiyor.
Araştırmacı, “Bu mesajın rezervasyon sitesinin mesaj platformunun kendisinden geldiğini hatırlamak önemlidir”.
İletişim resmi kanal üzerinden rezervasyon sitesinden geldiğinden, hedefin meşruiyetinden şüphe etmek için hiçbir nedeni yoktur.
Guez, kurbanın rezervasyonu korumak için iddia edilen kart doğrulaması için bir bağlantı aldığını söylüyor. Bağlantı, kurban makinesinde karmaşık bir JavaScript Base64 komut dosyasında kodlanan bir yürütülebilir dosyayı tetikler.
Araştırmacı, komut dosyasının amacının tarama ortamı hakkındaki bilgileri tespit etmek olduğunu ve analizi önemli ölçüde daha zor hale getirmek için tasarlandığını vurgulamaktadır.
Saldırgan ayrıca, sahte bir Booking.com ödeme sayfasını gösteren aldatmaca'nın bir sonraki aşamasına ulaşmasını sağlamak için birden fazla güvenlik doğrulama ve anti-analiz teknikleri içeriyordu.
Hileyi tespit etmeyi çok zorlaştıran daha sofistike bir yaklaşıma rağmen, Guez potansiyel bir aldatmaca gösteren düzenli işaretlerin hala sahtekarlığı ortaya çıkarabileceğini söylüyor.
Kullanıcılar, meşru görünseler bile, istenmeyen bağlantıları tıklamaktan kaçınmalı, acil eylem isteyen acil veya tehdit edici mesajlardan şüphelenmeli ve URL'leri aldatma göstergeleri için kontrol edin.
Bununla birlikte, daha karmaşık kimlik avı kampanyalarına kurban olmamanız için önerilen eylem, doğrudan resmi bir e -posta adresinden veya telefon numarasından şirketle iletişim kurmak ve mesaj hakkında açıklamalar istemektir.
Kimlik avı saldırısında hedeflenen Kripto İflasında Davacılar
Retool, Google Authenticator MFA Cloud Sync özelliğindeki ihlalleri suçlar
Son kullanıcı kimlik avı eğitimi nasıl çalışır (ve neden değil)
Ransomware Access Broker, Microsoft Teams Phishing aracılığıyla hesapları çalıyor
Facebook Messenger Kimlik Avı Dalgası Haftada 100 bin İşletme Hesapları
Kaynak: Bleeping Computer