In una complessa campagna di furto di informazioni, alcuni hacker hanno preso di mira hotel, siti di prenotazione e agenzie di viaggio, violando i loro sistemi per rubare i dati finanziari dei clienti. Questo approccio indiretto, supportato da una falsa pagina di pagamento di Booking.com, ha dimostrato di avere un notevole successo nella raccolta di informazioni sulle carte di credito.
In passato, si erano viste campagne di furto di informazioni nell'industria dell'hospitality, che utilizzavano sofisticate tecniche di ingegneria sociale per diffondere dei malware capaci di sottrarre informazioni.
Questa campagna inizia con una semplice richiesta di prenotazione o si riferisce a prenotazioni esistenti. Gli hacker, secondo i ricercatori di Perception Point, stabiliscono un contatto con l'hotel e poi invocano una ragione, come una condizione medica o una richiesta speciale, per inviare documenti importanti tramite un URL.
Questo URL conduce a un malware progettato per operare in modo discreto, raccogliendo dati sensibili come credenziali o informazioni finanziarie. L'attacco, inoltre, può andare oltre questa fase, mirando direttamente ai clienti delle entità compromesse e accedendo ai messaggi dei clienti legittimi.
Questo accesso diretto alle vittime consente ai criminali informatici di inviare messaggi di phishing mascherati da richieste legittime provenienti dall'hotel, dal servizio di prenotazione o dall'agenzia di viaggi. Il messaggio richiede la verifica della carta di credito e sfrutta i comuni elementi di un messaggio di phishing, come l'urgenza e una giustificazione plausibile.
Guez sottolinea che questi messaggi sono scritti in modo professionale, modellati sulle comunicazioni legittime tra hotel e ospiti, eliminando ogni sospetto di frode. Poiché i messaggi provengono direttamente dai siti di prenotazione attraverso canali ufficiali, le vittime non hanno motivo di dubitare della loro legittimità.
Le vittime ricevono un link per la presunta verifica della carta di credito per confermare la prenotazione. Cliccando sul link, si attiva un eseguibile codificato in un complesso script JavaScript in base64, progettato per rilevare informazioni sull'ambiente di navigazione, rendendo l'analisi più difficile.
Gli attaccanti hanno implementato diverse tecniche di convalida della sicurezza e anti-analisi per assicurarsi che solo le potenziali vittime raggiungano la fase successiva della truffa, la quale mostra una falsa pagina di pagamento di Booking.com.
Nonostante l'approccio sofisticato, è ancora possibile individuare tracce di frode prestando attenzione ai segni comuni di un possibile phishing. Tuttavia, la precauzione migliore è quella di contattare direttamente l'azienda, utilizzando i contatti ufficiali, per verificare la legittimità dei messaggi ricevuti e evitare di cadere vittima di complesse campagne di phishing.