Siber suç , Hizmet olarak siber suç , Dolandırıcılık Yönetimi ve Siber Suç
Uzmanlar, Saldırganların Müşterilerin Ödeme Kartı Verilerini Çalmak İçin Otel Kılığına Girdiği Uyarısında Bulundu
Mathew J. Schwartz (euroinfosec) •
22 Aralık 2023
Uzmanlar, popüler çevrimiçi seyahat sitesi Booking.com’u iki faktörlü kimlik doğrulamayı etkinleştirmeden kullanan otellerin ve müşterilerinin dolandırıcıların saldırısına uğramaya devam ettiği konusunda uyarıyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Son aylarda araştırmacılar, Booking.com’u kullanan otelleri hedef alan ve müşterilerini dolandırmak amacıyla otellerin siteye erişim bilgilerini çalan sosyal mühendislik saldırılarında bir artış gördüklerini bildirdi. Saldırıların çoğu hedefli veya fırsatçı gibi görünüyor ve bilgi çalan kötü amaçlı yazılımlar veya bilgi hırsızları aracılığıyla çalınan bilgilerden besleniyor.
Tehdit istihbarat firması Kela’nın yeni bir raporunda, “Konaklama hesaplarını çalmak için kullanılan en yaygın enfeksiyonlar Raccoon, Redline, Lumma, Vidar ve MetaStealer olmuştur; bunların tümü hizmet olarak kötü amaçlı yazılım olarak satın alınabilen emtia bilgi hırsızlarıdır” diyor. “Bu, farklı aktörlerin bu kötü amaçlı yazılımı kullanarak mülkleri hedefledikten sonra (ister hedefli ister fırsatçı kampanyalarda) bunu satarak para kazanmaya karar verdikleri anlamına geliyor. Sonuç olarak bu, çok sayıda başka siber suçlunun aynı erişim noktasından yararlanmasının kapısını açtı.”
Bir sistemden çalınan her bilgi grubu bot olarak bilinir ve botlar özel pazar yerleri ve Telegram kanalları aracılığıyla satılır (bkz.: Bilgi Hırsızları Çalınan Veriler İçin Sıcak Pazarda Başarılı Oluyor).
Kela, yalnızca bu yıl bu tür pazarlarda “Booking.com ile ilişkili” 185.000’den fazla hesabın satışa sunulduğunu ve her ay ortalama 16.800 yeni toplanmış hesabın satışa sunulduğunu söyledi. Firma ayrıca, “yüzlerce başka kurumsal hesabın, özellikle e-postalarında mülkle ilgili anahtar kelimelerin bulunduğu hesapların” (örneğin, kullanıcı adındaki “rezervasyon” kelimesi ve URL’deki otel adı gibi) satışa sunulduğunu keşfettiğini söyledi. müşterileri dolandırmak.
Siber güvenlik firması Secureworks, tehdit istihbaratı araştırmacılarının “Booking.com mülk kimlik bilgileri için yeraltı forumlarında yüksek bir talep gözlemlediğini” ve bazı alıcıların “admin.booking.com mülk yönetim portalı için kimlik bilgilerini içeren bilgi hırsızı günlükleri talep ettiğini”, diğerlerinin ise “admin.booking.com mülk yönetim portalı için kimlik bilgileri talep ettiğini” söyledi. Günlükleri ve günlük kontrolü ve ayrıştırma gibi ilgili hizmetleri satmayı teklif ettik.”
Booking.com, çalınan kimlik bilgilerinin siteye giriş yapmak için kullanılmasını engellemek için iki faktörlü kimlik doğrulama sunarken, araştırmacılar mağdur otellerin bunu etkinleştirmediğini söyledi.
Oteller ve rezervasyon yazılımları, çoğu zaman ödeme kartı verilerinin kaynağı olarak, kötü niyetli bilgisayar korsanlarının düzenli hedefi olmaya devam ediyor. Verizon’un 60’tan fazla kuruluş tarafından araştırılan 5.199 doğrulanmış veri ihlaline dayanan en son Veri İhlali Araştırma Raporu, her konaklama ihlalinde saldırganların amacının tamamen finansal olduğunu ortaya çıkardı.
En son DBIR’e göre konaklama saldırılarının üçte biri fidye yazılımından kaynaklanıyor ve çoğu durumda saldırganlar bunun yerine, bazen ödeme kartı verilerini çalmak için tasarlanmış, çoğunlukla satış noktası yazılımlarına karşı RAM kazıyıcı kötü amaçlı yazılım kullanıyorlar. müşterilerin kişisel bilgilerini de çaldı.
Bilgi Hırsızları Saldırıları Nasıl Artırır?
Eylül ayında yayınlanan bir raporda, siber güvenlik firması Perception Point’teki araştırmacılar, bu bilgilerin oteller ve ilgili kuruluşlarda sosyal mühendislik yapmak için kullanılma yollarını ayrıntılı olarak açıkladı.
Araştırmacılar, çoğu zaman saldırganların önce bir oda ayırttığını ve ardından müşteri hizmetlerine “hem empati hem de aciliyet duygusu uyandırmak için hazırlanmış” bir mesajla e-posta gönderdiklerini söyledi. Yaygın taktikler arasında, gıda alerjisi nedeniyle anafilaktik şok geçirmeye yatkın bir çocukla veya yolculuk sırasında fotoğraf basmak isteyen yaşlı ebeveynlerle seyahat ettiğini iddia etmek yer alıyordu.
Araştırmacılar bir sonraki adımın, kurbanı, Google Drive gibi bir bulut deposuna yönlendiren bir e-postadaki bağlantı yoluyla şifre korumalı bir web sitesi aracılığıyla yazdırılacak sözde diyet bilgilerini veya görsellerini alması için kandırmak olduğunu söyledi. Tıklanırsa, bağlantı sözde bilgileri veya fotoğrafları kullanıcının bilgisayarına indirir ve çalıştırarak sisteme bilgi çalan kötü amaçlı yazılım yükler.
Secureworks tarafından araştırılan bir vakada, “kötü amaçlı yazılımın çalıştırılmasının ertesi günü, bir otel çalışanı, otelin Booking.com hesabından gelen konuklara birden fazla mesaj gönderildiğini gözlemledi” dedi. “Birkaç saat sonra otel müşterileri, hesaplarından para alındığından şikayet etmeye başladı. Tehdit aktörü muhtemelen Vidar’ı tesisin Booking.com kimlik bilgilerini çalmak için kullandı ve ardından hesaba erişmek için onları kötüye kullandı.”
En İyi Savunma: Teknik Kontroller
Sosyal mühendislik uzmanı Sharon Conheady, misafirperverliğin müşteriyi ön planda tutan doğası nedeniyle bu tür hilelerin geri püskürtülmesinin son derece zor olduğunu söyledi. Conheady bir röportajda, bu tür organizasyonlarda resepsiyon görevlileri gibi halka açık kişilerin çoğunun “insanlara yardım etmek için eğitildiğini – bu onların işi” olduğunu ve tabii ki görünürdeki müşterilerin taleplerini karşılamaya çalışmak için geri adım atacaklarını söyledi. bu ay Londra’daki Black Hat Avrupa konferansında.
Yardım masaları sık karşılaşılan bir diğer hedef olmaya devam ediyor. Yakın zamanda yapılan bir sızma testine atıfta bulunarak, “Son zamanlarda benden yardım masasını aramamı ve BitLocker anahtarlarını almamı isteyen bir müşterim vardı” dedi. “Yardım masası temsilcilerinin her biri bize BitLocker anahtarını verdi.” Bu onu şu soruyu sormaya yöneltti: Bu personel BitLocker anahtarının ne olduğunu biliyor mu ve onu neden paylaşmamaları gerektiğini biliyor mu? Müşteri bilmediklerini söyledi.
Conheady, insanları müşteriyle yüz yüze görevlerde eğitmek yardımcı olsa da gerçekten etkili olan tek yaklaşımın bu tür saldırıları doğrudan önlemek ve engellemek için güçlü teknik kontrolleri uygulamaya koymak olacağını söyledi.
Dolandırıcılar Müşterilere Ulaşıyor
Bu arada Booking.com’u kullanan otellerden çalınan bilgiler, müşterilerini hedef almak için kullanılmaya devam ediyor. Mart ayından bu yana görülen ve siber suç eğilimlerini takip eden Curated Intelligence sitesinde ayrıntıları verilen tekrarlanan bir dolandırıcılık, saldırganların çalınan kimlik bilgilerini kullanarak otel kılığına girip Booking.com sitesi aracılığıyla müşterilere doğrudan mesaj göndermesini içeriyor. Araştırmacılar, “Mesajın konuklara, çalıntı kredi kartı dolandırıcılığıyla mücadele amacıyla (ironi!) bilgilerini çevrimiçi bir forma girmeleri gerektiğini bildiriyordu” dedi.
Araştırmacılar, hedefin verilen bir bağlantıya tıklaması durumunda, bunun onları konaklamalarının ayrıntılarını doğru bir şekilde listeleyen, Booking.com’a benzeyen bir siteye yönlendirdiğini ve kredi kartı bilgilerini girebilecekleri bir sayfaya yönlendirdiğini söyledi. saldırganlara yönlendirildi.