Seyahat Edenler Booking.com’un Karmaşık Kimlik Avı Saldırılarına Dikkat Edin

Siber suçlular, dünyanın önde gelen çevrimiçi seyahat platformlarından Booking.com’u hedef alan gelişmiş bir kimlik avı saldırısı başlattı.

Karmaşık yapısı ve yüksek başarı oranıyla dikkat çeken bu saldırı, son bir yıldır gelişerek otel yöneticileri ve müşterileri için önemli riskler oluşturuyor.

Bu makalede, saldırının incelikleri ele alınıyor, siber suçluların kullandığı yöntemler vurgulanıyor ve bu tür tehditlere karşı nasıl korunulacağına dair rehberlik sunuluyor.

Saldırının İki Aşamalı Stratejisi

Kimlik avı saldırısı iki temel aşamada gerçekleşir. İlk olarak, saldırganlar otel yöneticilerinin Booking.com hesaplarını ele geçirir. Bu ilk ihlal, hassas bilgilere ve iletişim kanallarına erişmelerini sağlar.

Osintmatter’ın bildirdiğine göre, ikinci aşamada saldırganlar, ele geçirilen hesapları kullanarak resmi Booking.com uygulaması üzerinden otel müşterilerini dolandırıyor.

Bu çift aşamalı stratejinin oldukça etkili olduğu kanıtlandı ve siber tehdit alanındaki en karlı dolandırıcılık yöntemlerinden biri haline geldi.

Saldırganlar, Booking.com otel yöneticileri tarafından kullanılan meşru bir alt alan adı olan ‘extranet-booking.com’a benzeyen aldatıcı bir alan adı olan ‘extraknet-booking.com’u kaydederek işe başlıyor.

Saldırganlar, resmi Booking.com arayüzünü taklit eden sahte bir portal oluşturarak otel yöneticilerini oturum açma kimlik bilgilerini girmeye kandırıyor. Bu, siber suçluların kişisel ve finansal veriler de dahil olmak üzere hassas bilgileri toplamasına olanak tanıyor.

Saldırganlar, kurbanları sahte siteye çekmek için geleneksel sahte e-postalardan gelişmiş SEO zehirlenmesine kadar çeşitli teknikler kullanıyor.

Arama motoru optimizasyonunu manipüle ederek, kötü niyetli sitelerinin arama sonuçlarında üst sıralarda yer almasını sağlıyorlar ve bu sayede şüphelenmeyen kullanıcıları kendilerine çekiyorlar.

What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!

Saldırganlar otel yöneticilerinin hesaplarına eriştikten sonra ikinci aşamaya geçiyorlar: Otel müşterilerini hedef alıyorlar.

Resmi Booking.com uygulamasını kullanarak, genellikle meşru iletişim kisvesi altında misafirlere sahte mesajlar gönderirler. Bu yöntem, müşterilerin platforma olan güveninden yararlanarak başarılı dolandırıcılık olasılığını artırır.

JavaScript Karartma

Kimlik avı sitesinin göze çarpan özelliklerinden biri JavaScript karartma kullanmasıdır. Saldırganlar dizeleri kodlayarak ve karmaşık betikler kullanarak otomatik araçların ve araştırmacıların kodu analiz etmesini zorlaştırır.

Bu karartma, kötü niyetli faaliyetleri gizlemekle kalmıyor, aynı zamanda saldırganların olası coğrafi kökenlerine dair ipuçları da veriyor; bunu kodda Kiril alfabesinin kullanılması kanıtlıyor.

STUN Bağlama İstekleri

Saldırganlar ayrıca, eşler arası iletişimi kolaylaştırmak için NAT (STUN) bağlama istekleri için Oturum Geçiş Yardımcı Programlarını da kullanırlar.

Genellikle VoIP aramaları gibi meşru uygulamalarda kullanılan bu teknik, saldırganlar tarafından verileri sızdırmak ve tehlikeye atılmış sistemlerle iletişimi sürdürmek için yeniden kullanılır. Bu isteklerin alışılmadık hacim ve bağlantı noktası kullanımı kötü niyetli bir niyeti akla getirir.

Dinamik Gizleme

Dinamik gizleme, bu saldırıda kullanılan bir diğer gelişmiş taktiktir. Saldırganlar, farklı kullanıcılara veya sistemlere farklı içerikler göstererek tespit edilmekten kaçınabilir.

Kimlik avı sitesi, sahte portalı, gerçek Booking.com sayfasını veya kullanıcının IP adresi veya tarayıcı ayarları gibi belirli koşullara dayalı hata sayfalarını sunar.

Soruşturma sırasında önemli bulgulardan biri, Booking.com ve benzeri siteleri hedef alan çok sayıda kimlik avı sayfasına bağlantı veren bir iFrame kullanılmasıydı.

Bu iFrame, kötü amaçlı içeriği birden fazla siteye dağıtan merkezi bir merkezdir. Saldırganlara merkezi kontrol, geniş bir erişim ve değerli analiz verileri sağlayarak saldırı stratejilerini optimize etmelerine ve iyileştirmelerine olanak tanır.

Booking.com’a yönelik bu sofistike kimlik avı saldırısı, siber tehditlerin değişen doğasını ve sağlam siber güvenlik önlemlerine duyulan ihtiyacı vurguluyor. Seyahat edenler ve otel yöneticileri de kendilerini korumak için dikkatli olmalı ve proaktif adımlar atmalıdır.

Siber suçlular taktiklerini geliştirmeye devam ederken, kişisel ve finansal bilgileri korumak için bilgili ve dikkatli olmak büyük önem taşıyor.

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial