Güvenlik araştırmacıları, bilgisayar korsanlarının otellerin, rezervasyon sitelerinin ve seyahat acentelerinin sistemlerini ihlal ettiği ve daha sonra bu erişimleri müşterilere ait finansal verileri ele geçirmek için kullandığı çok adımlı bir bilgi çalma kampanyası keşfetti.
Siber suçlular, bu dolaylı yaklaşımı ve sahte bir Booking.com ödeme sayfasını kullanarak, kredi kartı bilgilerinin toplanmasında önemli ölçüde daha iyi bir başarı oranı sağlayan bir kombinasyon buldular.
Sonraki düzey kimlik avı
Tipik olarak araştırmacılar, bilgi hırsızlığı yapan kötü amaçlı yazılımlar sunmak için “gelişmiş sosyal mühendislik teknikleri” kullanan konaklama sektörünü (örn. Oteller, seyahat acenteleri) hedef alan bilgi hırsızlığı kampanyalarını gözlemlediler.
Siber güvenlik Perception Point’teki araştırmacılar bu ayın başlarında bir raporda, bunun rezervasyon yapmak için basit bir sorguyla başladığını veya mevcut bir sorguya atıfta bulunduğunu söylüyor.
Suçlular, otelle iletişim kurduktan sonra tıbbi bir durum ya da yolculardan birinin özel isteği gibi bir nedene dayanarak önemli belgeleri bir URL aracılığıyla göndermeyi talep ediyor.
URL, “gizlice çalışmak üzere tasarlanmış” ve kimlik bilgileri veya finansal bilgiler gibi hassas verileri toplayan, bilgi çalan kötü amaçlı yazılımlara yol açıyor.
Bu hafta yayınlanan yeni bir raporda internet şirketi Akamai’deki araştırmacılar, saldırının yukarıda açıklanan adımın ötesine geçtiğini ve güvenliği ihlal edilen kuruluşun müşterilerini hedef aldığını söylüyor.
“Bilgi hırsızlığı asıl hedefte (otel) yürütüldükten sonra, saldırgan meşru müşterilerle yapılan mesajlaşmaya erişebilir” – Shiran Guez, Akamai bilgi güvenliği kıdemli yöneticisi
Son kurbanla doğrudan ve güvenilir bir iletişim kanalına sahip olan siber suçlular, kimlik avı mesajlarını, artık ele geçirilen otelden, rezervasyon hizmetinden veya seyahat acentesinden meşru bir talep olarak gizlenerek gönderebilirler.
Mesaj, ek bir kredi kartı doğrulaması istiyor ve kimlik avı metninin ortak bileşenlerine dayanıyor: acil eylem gerektiriyor ve bunu açıklamak için sağlam bir mantık kullanıyor.
Guez, mesajın “profesyonelce yazıldığını ve misafirlerle gerçek otel etkileşimlerine göre modellendiğini”, bunun da bir hile şüphesini ortadan kaldırdığını belirtiyor.
kaynak: Akamai
Araştırmacı, “Bu mesajın, rezervasyon sitesinin mesaj platformunun kendisinden geldiğini unutmamak önemlidir” diye vurguluyor.
İletişim rezervasyon sitesinden resmi kanal aracılığıyla geldiği için hedefin bunun meşruiyetinden şüphe etmesi için hiçbir neden yoktur.
Sahte Booking.com sayfası
Guez, mağdurun rezervasyonu sürdürmek için iddia edilen kart doğrulaması için bir bağlantı aldığını söylüyor. Bağlantı, kurbanın makinesinde karmaşık bir JavaScript base64 komut dosyasıyla kodlanmış bir yürütülebilir dosyayı tetikler.
Araştırmacı, betiğin amacının tarama ortamı hakkındaki bilgileri tespit etmek olduğunu ve analizi önemli ölçüde zorlaştırmak için tasarlandığını vurguluyor.
Saldırgan ayrıca sahte Booking.com ödeme sayfasını gösteren dolandırıcılığın bir sonraki aşamasına yalnızca potansiyel kurbanların ulaşmasını sağlamak için birden fazla güvenlik doğrulama ve anti-analiz tekniği de kullandı.
kaynak: Akamai
Hileyi tespit etmeyi çok zorlaştıran daha karmaşık yaklaşıma rağmen Guez, potansiyel bir dolandırıcılığı gösteren düzenli işaretlerin yine de dolandırıcılığı ortaya çıkarabileceğini söylüyor.
Kullanıcılar, meşru görünseler bile istenmeyen bağlantılara tıklamaktan kaçınmalı, acil eylem gerektiren acil veya tehdit edici mesajlardan şüphelenmeli ve aldatma belirtileri açısından URL’leri kontrol etmelidir.
Ancak daha karmaşık kimlik avı kampanyalarının kurbanı olmayacağınızdan emin olmak için önerilen eylem, şirketle doğrudan resmi bir e-posta adresi veya telefon numarası üzerinden iletişime geçerek mesajla ilgili açıklama istemektir.