Хакеры атакуют отели под видом бронирований
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Хакеры атакуют гостиницы и компании гостиничного бизнеса с помощью особо изощрённой фишинговой атаки, маскирующейся под официальные уведомления о бронировании. Исследователи из Mimecast, Саманта Кларк и Анкит Гупта, выявили крупную хакерскую кампанию, целью которой становится кража логинов, паролей, а также, возможно, кодов двухфакторной аутентификации (МФА) от сервисов Expedia Partner Central и Cloudbeds — платформ, широко используемых в отелях и туристическом бизнесе для управления размещением гостей.
Письма приходят с тревожными и крайне срочными темами: отслеживание бронирований, уведомления системы, подтверждения гостей и внутренние сообщения партнёров. Всё выглядит предельно реалистично для сотрудников гостиницы: такие темы — рутина индустрии, а задержка с реакцией на письмо легко оборачивается потерями прибыли. Особенно это опасно, если учесть, что злоумышленники точно знают, как работает гостиничный бизнес и как вести диалог так, чтобы сотрудники не заподозрили подвох.
Все вредоносные ссылки приводят на поддельные страницы, выгравированные почти точь-в-точь под официальные сайты Expedia и Cloudbeds. Данными страницами управляют киберпреступники, используя популярную платформу размещения сайтов Vercel. В случае, когда сотрудник вводит свои данные на такой странице, хакеры тут же получают доступ не только к логину и паролю, но и иногда к дополнительному коду подтверждения (МФА), который призван защищать от подобных взломов.
Особая ценность таких атак — в доступе к конфиденциальным данным, которыми отели распоряжаются ежедневно: электронные адреса, паспортные данные, номера, даты рождения — всё, что может понадобиться злоумышленникам для дальнейших преступлений. Такие сведения не только можно использовать для получения доступа к банковским счетам или другим сервисам, но и продавать на черном рынке.
Эксперты напомнили, что не прошло и месяца после того, как в Италии был взломан крупный сервис бронирований десятков отелей и похищена личная информация тысяч клиентов. Ранее похожие инциденты происходили с гигантами Hilton и Marriott — в том числе в результате компрометации их партнёров, через которых злоумышленникам открывался доступ к внутренним ресурсам.
Великие гостиничные кражи снова на подъёме. Злоумышленники не первый год ловко притворяются службой поддержки — теперь у них и почтовый стиль, и узнаваемые темы писем, и поддельные страницы, для убедительности размещённые на приличных платформах. Маскуются под партнёров, чтобы схватить если не логины — так хотя бы коды двухфакторки. Уровень небрежности жертв поражает: будто менеджеры между бронированиями искренне мечтают поделиться с кем угодно своими паспортными данными.
Ценный трофей — адреса, документы, даты рождения — отправляется либо на черный рынок, либо отрабатывается другим способом уже дня через два. Казалось бы, индустрия обожглась на Marriott и Hilton, но нет — за месяц до этой кампании итальянские гостиницы повторили старую ошибку на новом витке.
Всё это происходит по проверенной схеме: атака входит в доверие, пойманные логины и пароли расходятся "на сувениры". Проигравший — не только гость, но и вся цепочка от менеджера до руководства, предпочитающих экономить на IT-грамотности, зато терять миллионы. Вот и весь секрет: чем сложнее бизнес-цепочка, тем легче украсть всё сразу.