Фишинговая атака через Booking.com с использованием японских символов

Киберпреступники изобрели новый способ обмана: теперь они используют популярный сервис бронирования жилья Booking.com, чтобы распространять вредоносные программы среди доверчивых пользователей. Отправители писем притворяются сотрудниками Booking.com и присылают владельцам объявлений тревожные сообщения — якобы кто-то пожаловался на их квартиру или дом, и если не перейти по ссылке и не отреагировать молниеносно, их аккаунт будет заблокирован.

На первый взгляд ссылка кажется вполне легитимной, только вот внимательный взгляд заметит в ней подвох: вместо привычной черты «/» встречается японский символ «ん», который звучит как «н». Это — хитрый трюк: кириллические иероглифы не бросаются в глаза, и только опытный человек отличит их от английских знаков. Хирагана — это одна из трёх японских письменностей наряду с катаканой и кандзи, и, конечно, домохозяйке из Ярославля вряд ли придёт в голову искать подвох в ссылке на латинице.

Если невнимательный пользователь откроет фальшивый сайт, то попадёт под раздачу — с сайта сразу же начнётся загрузка вредоносной программы в виде MSI-файла. Специалисты по кибербезопасности уже изучили эти атаки и выложили подробную информацию об образцах вируса на платформах MalawareBazaar и any.run: в этих цепочках используется как похищение информации, так и полноценные инструменты удалённого доступа (RAT).

Подмена одного символа в адресе сайта — известный приём, называемый «тайпосквоттинг» (англ. typosquatting): злоумышленники рассчитывают, что человек не будет внимательно читать адрес ссылки и кликнет на подделку. Booking.com в этом смысле находится в почётном ряду с Amazon, Microsoft и DHL — именно эти бренды чаще всего становятся мишенями подражаний.

Как защититься? Ответ прост и стар как интернет: не торопитесь, проверяйте поступающие письма, особенно если они пришли внезапно. Изучайте ссылки, вложения и сайты, не открывайте их без убедительной необходимости, а свои пароли и личные данные держите под замком.