Dolandırıcılar, otellerin Booking.com hesaplarını ele geçiriyor ve konukları ödeme kartı bilgilerini paylaşmaları için kandırmayı amaçlayan bir otel rezervasyon dolandırıcılığının parçası olarak bunları kullanıyor.
Secureworks araştırmacıları, “Birden fazla tesisin müşterileri, Booking.com’dan, otel sahiplerinden geldiği iddia edilen ve yaklaşan konaklamalar için ödeme ayrıntılarının onayını isteyen e-posta veya uygulama içi mesajlar aldı” diye uyarıyor.
“Tehdit aktörleri, kurbanları bilgi girişi için kötü amaçlı URL’lere yönlendirdi ve ardından ayrıntıları kurbanların hesaplarından para çekmek için kullandı.”
Otel rezervasyonu dolandırıcılığı
Secureworks, Ekim 2023’te bir dolandırıcının, eski bir misafirmiş gibi davranarak ve şifresini otelde unuttuğunu iddia ederek bir otelin operasyon personeliyle e-posta yoluyla iletişime geçmesiyle meydana gelen bir saldırıyı anlattı.
Bu ilk e-posta, e-posta güvenlik tarayıcılarını tetikleyecek bağlantılar veya ekler içermiyordu. İşlevi, alıcının güvenini oluşturmak ve onları ikinci e-postadaki talimatları izlemeye hazırlamaktı.
Birkaç gün sonra dolandırıcı, görünüşte söz konusu belgenin bir fotoğrafını ve Google Drive’dan indirilebilen check-in ayrıntılarını sağlamak için personelle e-posta yoluyla tekrar iletişime geçti.
İndirilen ZIP arşiv dosyası, otelin Booking.com hesabının kimlik bilgilerini toplayan ve saldırganın Booking.com yönetim portalına erişmesine, yaklaşan rezervasyonların listesine erişmesine ve rezervasyon yapan konuklara doğrudan e-posta göndermesine olanak tanıyan Vidar bilgi hırsızını içeriyordu.
“Kötü amaçlı yazılımın çalıştırılmasının ertesi günü, bir otel çalışanı, otelin Booking.com hesabından gelecek konuklara birden fazla mesaj gönderildiğini gözlemledi. Birkaç saat sonra otel müşterileri hesaplarından para çekildiğinden şikayet etmeye başladı.”
Önceki kampanyalar
Saldırganlar ilk önce e-posta yoluyla bir konaklama rezervasyonu yaptırıyor ve otelin operasyon ekibinden bir üyeyle güven tesis ettikten sonra belirli ayrıcalıklar talep ediyorlardı (örneğin, personelin bir belge yazdırması veya otel personelinin kullandığı temizlik ürünlerinin olup olmadığını kontrol etmesi). otel konuğun çocuğunun alerjisi olan belirli bileşikler içerir).
İlk e-posta soru için zemin hazırlıyordu ve ikincisi meşru hizmetlerde (Google Drive, Dropbox, Mega vb.) barındırılan belgelerin URL’sini içeriyordu. Secureworks’ün ana hatlarını çizdiği kampanyada olduğu gibi, indirilen arşiv dosyası aslında bir bilgi hırsızı içeriyordu: Vidar, StealC veya Lumma.
Perception Point araştırmacıları şöyle açıkladı: “Sağlık sorunları veya özel ihtiyaçları olan aile üyelerini içeren senaryolar örerek, kurbanların empatisinden yararlanıyorlar ve rasyonel incelemeden etkili bir şekilde kaçınıyorlar.”
“Tek bir e-postayı içeren tipik kimlik avı saldırılarının aksine, bu kampanya bir dizi etkileşimi içeriyor ve bu da onu daha inandırıcı kılıyor. Parola korumalı arşiv, algılanan meşruiyete yeni bir katman ekleyerek kurbanları sahte bir güvenlik hissine kaptırıyor.”
Konaklama sektörü ve müşterileri saldırı altında
Booking.com müşterilerini hedef alan otel rezervasyonu dolandırıcılığı bir süredir devam ediyor.
“Mart 2023’e kadar iki otel, Booking.com’un ortak destek merkezinde, resmi mesajlaşma mekanizmasının müşterilerini dolandırmak için kötüye kullanıldığını bildiren mesajlar yayınladı. Secureworks araştırmacıları, Ağustos 2023’te üçüncü bir otelin, müşterilerinden birini hedeflemek için kullanılan bir mesajın içeriğini dahil ederek konuya katkıda bulunduğunu belirtti.
Dolandırıcılık son derece başarılı ve kazançlı görünüyor ve Secureworks, Booking.com’un mülk kimlik bilgilerine yönelik yer altı forumlarında yüksek talep görüyor.
Konaklama ve seyahat endüstrisindeki kuruluşlara kendilerini korumak için aşağıdakiler tavsiye edilir:
- Booking.com hesaplarında çok faktörlü kimlik doğrulamayı uygulayın
- Çalışanları bu sosyal mühendislik kampanyaları hakkında eğitin
- URL’leri açmadan önce bir kez daha kontrol edin
Araştırmacılar, “Bireysel müşterilerin, ödeme ayrıntılarını isteyen e-postalara veya uygulama mesajlarına karşı dikkatli olmaları gerekir, çünkü bunlar meşru olmayabilir” dedi. Meşru kanallardan (örn. meşru Booking.com hesaplarından) gelse bile bu tür mesajlardan şüphelenmeleri gerekir.
