حمله فیشینگ با جعل هویت وبسایت رزرو هتل
به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، در یک کمپین فیشینگ که از دسامبر ۲۰۲۴ آغاز شده و تا فوریه ادامه داشته است، مهاجمان سایبری کارکنان صنعت مهمانداری را در آمریکای شمالی، آسیای جنوب شرقی و اروپا هدف قرار دادهاند.
این افراد به دلیل ارتباط کاری با Booking.com، احتمال بیشتری دارد که ایمیلهای ارسالشده از سوی این پلتفرم را باز کنند.
طبق گزارشی که روز پنجشنبه توسط مایکروسافت منتشر شد، مهاجمان از تکنیکی به نام "ClickFix" استفاده میکنند.
در این روش، هکرها تمایل طبیعی انسان به حل مشکلات را هدف قرار داده و پیامهای خطای جعلی یا دستورالعملهایی نمایش میدهند که کاربران را وادار به کپی، پیست و اجرای دستورات مخرب میکند که در نهایت منجر به دانلود بدافزار میشود.
مایکروسافت توضیح داد:
این موضوع نیاز به تعامل کاربر میتواند باعث شود که حمله از فیلترهای امنیتی سنتی و خودکار عبور کند. در این کمپین، کاربر تشویق میشود تا از یک میانبر صفحه کلید برای باز کردن پنجره ‘Run’ در ویندوز استفاده کند و سپس کدی را که در کلیپبورد کپی شده است اجرا کند.
محققان این حمله را به گروه طوفان-1865 (Storm-1865) نسبت دادهاند.
این گروه قبلاً نیز چندین کمپین فیشینگ را برای سرقت اطلاعات پرداختی و انجام تراکنشهای جعلی اجرا کرده است.
ایمیلهای مخرب حاوی انواع مختلف محتوا بودند، از جمله بررسیهای منفی مهمانان، درخواست تأیید حساب، یا پیامهایی که بهعنوان درخواستهای احتمالی مهمانان مطرح میشدند.
اغلب این ایمیلها شامل لینک یا فایل PDF بودند که ادعا میکرد کاربران را به وبسایت Booking.com هدایت میکند، اما در واقع، این لینکها کاربران را به یک صفحه جعلی CAPTCHA منتقل میکردند، جایی که حمله ClickFix اجرا میشد.
محققان مایکروسافت اعلام کردند:
در این روش، کاربر باید از میانبر صفحه کلید برای باز کردن پنجره ‘Run’ در ویندوز استفاده کند و سپس کدی که در کلیپبورد کپی شده است را اجرا کند. از این طریق، بدافزار روی دستگاه قربانی دانلود میشود.
مایکروسافت اعلام کرد که چندین نوع بدافزار بر روی دستگاههای قربانیان شناسایی شده است، از جمله ایکس وورم (XWorm)، لوما استیلر (Lumma Stealer)، ونوم رت (VenomRAT)، ای سینک رت (AsyncRAT)، دانابات (Danabot) و نت ساپورت رت (NetSupport RAT).
تمام این بدافزارها به هکرها امکان سرقت اطلاعات مالی و اعتباری را میدهند.
سخنگوی وبسایت Booking.com در واکنش به این حمله اعلام کرد:
تعداد اقامتگاههایی که تحت تأثیر این کلاهبرداری قرار گرفتهاند، تنها بخش کوچکی از کل اقامتگاههای موجود در پلتفرم ما هستند. ما سرمایهگذاریهای قابلتوجهی برای محدود کردن تأثیر این حمله بر مشتریان و شرکای خود انجام دادهایم. در حالی که میتوانیم تأیید کنیم که سیستمهای داخلی Booking.com دچار نقض امنیتی نشدهاند، متأسفانه برخی از شرکای اقامتی و مشتریان ما هدف حملات فیشینگ قرار گرفتهاند که هدف آنها تصاحب سیستمهای محلی این افراد از طریق بدافزار بوده است.
مایکروسافت اشاره کرد که طوفان-1865 در سال ۲۰۲۳، مهمانان هتلها را با استفاده از حملات فیشینگ مرتبط با وبسایت Booking.com هدف قرار داده بود.
همچنین، در سال ۲۰۲۴، این گروه مشتریان حوزه تجارت الکترونیک را با پیامهای فیشینگ مورد حمله قرار داد.
مایکروسافت هشدار داد که این نوع حملات فیشینگ از اوایل ۲۰۲۳ افزایش قابلتوجهی داشته است و از کارکنان بخش مهمانداری خواست که ایمیلهای دریافتی را با دقت بررسی کنند، از جمله بررسی آدرس فرستنده ایمیل، جستجوی اشتباهات املایی در متن ایمیل و مراقبت از پیامهایی که کاربران را وادار به انجام اقدامی خاص میکنند.
با توجه به این تهدیدات، هتلها و اقامتگاهها باید تدابیر امنیتی بیشتری را برای محافظت از کارکنان و سیستمهای خود در برابر حملات سایبری اتخاذ کنند.