В этом сезоне у киберпреступников чрезвычайно популярна новая схема атаки на клиентов Booking.com через внутреннюю систему обмена сообщениями этого сервиса. Для этого они используют взломанные аккаунты отелей на admin.booking.com. За последние месяцы разными компаниями было выпущено несколько исследований инцидентов такого рода.
В данный момент Booking.com на территории России не работает, но тем не менее угроза может быть актуальна для русскоязычных читателей из других стран. Поэтому рассказываем подробнее, как работает данная атака, — и даем советы, как владельцам и сотрудникам отелей защититься от нее (и защитить своих клиентов).
Заражение компьютеров сотрудников отелей стилером паролей
В данном случае мы имеем дело с многоступенчатой атакой, если можно так выразиться — B2B2C. Начинается все с заражения компьютеров отелей, но непосредственная опасность угрожает не самой гостинице, а ее клиентам.
Для угона аккаунтов отелей на admin.booking.com злоумышленники используют специальные вредоносные программы, которые называются стилерами паролей. Вообще говоря, стилеры обычно собирают любые пароли, которые могут обнаружить на зараженном компьютере. Но в данном случае, судя по всему, для киберпреступников представляют интерес именно учетные записи на Booking.com.
В частности, в одном из вышеупомянутых исследований описана целевая атака на сотрудников отеля через электронную почту. Эта атака начинается с безобидного письма, в котором некто представляется недавним постояльцем и просит сотрудников гостиницы помочь ему с поиском утерянных документов.
В следующем письме «постоялец» утверждает, что уже искал потерянный паспорт везде, где только можно, и не смог его обнаружить — так что отель остается единственным местом, где может находиться документ. Поэтому он просит сотрудника отеля уделить время его поискам и в качестве помощи присылает ссылку якобы на фотографии утерянного паспорта.
Как несложно догадаться, в этом архиве никакие не фотографии, а как раз стилер паролей, который после клика по опасному файлу ищет в системе сохраненные логин и пароль от учетной записи гостиницы на admin.booking.com и отправляет их злоумышленникам.
В другом исследовании эпидемии угона аккаунтов отелей Booking.com приводится альтернативный вариант заражения компьютеров сотрудников гостиниц. Для атаки злоумышленники создают бронирования с аккаунтов постояльцев (в некоторых случаях можно предположить, что это краденые аккаунты). Далее они связываются с отелем через внутреннюю систему обмена сообщениями Booking.com и под тем или иным предлогом подсовывают ссылку на зараженный стилером файл — с точно тем же результатом, что и в предыдущем случае.
Кража аккаунтов отелей на Booking.com и переписка с клиентами
На следующем этапе злоумышленники приступают к непосредственному использованию учетных записей, украденных с зараженных компьютеров гостиниц. Дело сильно облегчает тот факт, что в сервисе Booking.com не предусмотрена двухфакторная аутентификация, так что для входа в аккаунт достаточно лишь логина и пароля.
Зайдя в аккаунт отеля на admin.booking.com, киберпреступники изучают текущие бронирования и начинают рассылать будущим постояльцам сообщения, используя внутреннюю систему переписки Booking.com. Общий посыл этих сообщений обычно сводится к тому, что произошла ошибка при верификации платежной карты гостя, указанной при бронировании. Поэтому отель просит заново ввести реквизиты карты — в противном случае бронь будет отменена.
Разумеется, тут же приводятся и ссылки, которые на первый взгляд действительно напоминают ссылки на страницы бронирования Booking.com. В них содержатся собственно слово «booking», нечто напоминающее номер бронирования, а в отдельных случаях еще и какие-нибудь вспомогательные слова вроде «reservation», «approve», «confirmation» и так далее.
Конечно, если присмотреться к ссылке внимательно, то легко заметить, что ведет она вовсе не на Booking.com. Но расчет тут на человека, который неожиданно для себя обнаружил серьезную проблему, способную испортить запланированное путешествие, — и он скорее всего торопится исправить положение.
Сообщения написаны профессиональным языком и выглядят вполне правдоподобно. Также следует обратить внимание на то, что текст такого рода сообщений значительно варьируется от одного описанного инцидента к другому. Судя по всему, по этой схеме действует некоторое количество злоумышленников, не связанных друг с другом непосредственно.
Фейковые копии сайта Booking.com и кража данных банковских карт
Далее следует финальный этап атаки. Перейдя по ссылке из сообщения, клиент отеля попадает на фейковую страницу, крайне тщательно повторяющую дизайн Booking.com. Более того, на этих страницах даже выводится правильное имя гостя, информация об отеле, в котором собирается остановиться жертва, даты и цена — мошенники все это знают, поскольку имеют доступ ко всем данным бронирования.
Заподозрить подлог можно только по ссылке в адресной строке. Но чтобы у жертвы не возникало желания вдаваться в настолько мелкие детали, мошенники дополнительно ее поторапливают: на странице выводится информация о том, что на данные даты высокий спрос, так что «10 четырехзвездочных отелей, подобных этому, уже недоступны». Намек, естественно, на то, что если с этим бронированием ничего не получится, найти альтернативные варианты размещения будет нелегко.
Таким образом жертву еще раз подталкивают как можно быстрее переподтвердить бронирование. Тем более что это совсем несложно: достаточно лишь заново ввести платежную информацию. Как легко догадаться, после этого данные карты попадают в руки злоумышленников — в этом и состоит их цель.
Продажа логинов и паролей отелей на Booking.com
Следует отметить, что здесь, как и в практически любых других киберпреступных схемах, уже наметилась явная специализация. Судя по всему, сбором взломанных аккаунтов Booking.com занимаются одни злоумышленники, а используют их для обмана клиентов отелей другие. Во всяком случае, на подпольных форумах можно обнаружить объявления, обещающие вполне серьезные деньги за логины и пароли от учетных записей admin.booking.com.
Другие злоумышленники, предоставляющие за абонентскую плату услуги поиска по базам логинов и паролей, украденных зловредами-стилерами, не так давно добавили admin.booking.com в список доступных для поиска сервисов.
Все это говорит о том, что популярность данной преступной схемы только растет — следовательно, будет еще больше взломов аккаунтов отелей на Booking.com и еще больше пострадавших клиентов этих отелей.
Как защититься от кражи аккаунта admin.booking.com
Хотя атака непосредственно угрожает клиентам отелей, а не самим гостиницам, разбираться с претензиями и каким-то образом компенсировать ущерб пострадавшим, чтобы избежать удара по репутации, все равно придется отелю. Да и в целом в заражении компьютеров отеля нет ничего хорошего — сегодня злоумышленники угоняют аккаунты Booking.com, а завтра могут придумать еще какую-нибудь схему монетизации этого заражения. Поэтому, конечно же, необходимо защищаться от данной угрозы. Вот о чем следует помнить:
- Сохранять пароли в браузере небезопасно — именно там их всегда ищут зловреды-стилеры.
- Для хранения паролей правильно использовать специальное приложение — менеджер паролей — которое позаботится об их безопасности.
- Обязательно следует установить надежную защиту на все устройства.
- И в особенности следует заботиться о безопасности тех компьютеров, которые могут использоваться сотрудниками для переписки с незнакомцами, — именно они имеют повышенные шансы стать целью атаки.