Hackers usam páginas falsas do Booking.com para roubar cartões

Da Redação
24/09/2023

Pesquisadores de segurança descobriram uma campanha de roubo de informações realizado em várias etapas, na qual hackers violam os sistemas de hotéis, sites de reservas e agências de viagens e, em seguida, usam seu acesso para ir atrás de dados financeiros pertencentes aos clientes.

Usando essa abordagem indireta e uma página de pagamento falsa do Booking.com — site internacional para reserva de acomodações para férias ou viagens —  os cibercriminosos encontraram uma combinação que garante uma taxa de sucesso significativamente melhor na coleta de informações de cartão de crédito.

Os pesquisadores observaram campanhas de roubo de informações que visavam a indústria da hospitalidade (por exemplo, hotéis, agências de viagens) usando “técnicas avançadas de engenharia social” para fornecer malware de roubo de informações. O ataque começa com uma simples consulta para fazer uma reserva, ou se refere a uma existente, dizem pesquisadores da Perception Point em um relatório publicado no início deste mês.

Depois de estabelecer a comunicação com o hotel, os criminosos invocam um motivo, como uma condição médica ou um pedido especial para um dos viajantes, para enviar documentos importantes por meio de um URL (endereço de rede). O URL leva a um malware de roubo de informações que “é projetado para operar furtivamente” e coleta dados confidenciais, como credenciais ou informações financeiras.

Em um novo relatório divulgado a semana passada, pesquisadores da empresa de internet Akamai disseram que o ataque vai além da etapa descrita acima e se move para atingir os clientes da entidade comprometida. “Depois que o infostealer é executado no alvo original [o hotel], o invasor pode acessar mensagens de clientes legítimos”, explica Shiran Guez, gerente sênior de segurança da informação da Akamai

Veja isso
Hackers invadem e destróem dados em rede de hotéis
Após MGM, Caesars Palace confirma ataque cibernético

Tendo um canal de comunicação direto e confiável com a vítima final, os cibercriminosos podem enviar sua mensagem de phishing disfarçada de uma solicitação legítima do hotel, serviço de reservas ou agência de viagens agora comprometido. A mensagem pede uma verificação adicional do cartão de crédito e se baseia nos ingredientes comuns de um texto de phishing: requer ação imediata e usa uma lógica sólida para explicá-lo.

Como a comunicação vem do site de reservas por meio do canal oficial, o alvo não tem motivos para duvidar de sua legitimidade. Guez diz que a vítima recebe um link para a suposta verificação do cartão para manter a reserva. O link aciona na máquina vítima um executável codificado em um script JavaScript base64 complexo.

A pesquisadora ressalta que o objetivo do script é detectar informações sobre o ambiente de navegação e é projetado para dificultar significativamente a análise.O invasor também incluiu várias técnicas de validação de segurança e antianálise para garantir que apenas vítimas em potencial cheguem ao próximo estágio do golpe, que mostra uma página de pagamento falsa do Booking.com.

Compartilhar: