Infractorii cibernetici fură datele de card ale turiştilor din recepţiile hotelurilor

Datele cardurilor turiştilor, stocate într-un sistem de administrare hotelieră, inclusiv cele primite de la agenţii online de turism (OTA), riscă să fie furate şi vândute infractorilor din întreaga lume.

Cercetarea Kaspersky asupra campaniei RevengeHotels, ce vizează industria ospitalităţii, a confirmat că peste 20 de hoteluri din America Latină, Europa şi Asia au căzut victime ale unor atacuri malware direcţionate. Este posibil ca un număr mai mare de hoteluri să fie afectate pe tot globul.

Ce este şi cum funcţionează RevengeHotels

RevengeHotels este o campanie a diferite grupuri care utilizează troieni tradiţionali cu acces de la distanţă (RAT) pentru a infecta companiile din sectorul ospitalităţii. Campania este activă din 2015, dar a început să-şi mărească prezenţa în 2019. Cel puţin două grupuri, RevengeHotels şi ProCC, au fost identificate ca făcând parte din campanie, cu toate că există posibilitatea ca mai multe grupuri de infractori cibernetici să fie implicate.

Principalul vector de atac din această campanie este reprezentat de e-mail-uri cu documente infectate - Word, Excel sau PDF. Unele dintre ele exploatează vulnerabilitatea CVE-2017-0199, încărcând-o cu ajutorul script-urilor VBS şi PowerShell şi apoi instalează versiuni personalizate ale diferitelor RAT-uri, precum şi alte programe malware personalizate, cum ar fi ProCC, pe dispozitivul victimei, care ulterior ar putea executa comenzi şi configura accesul de la distanţă la sistemele infectate.

Fiecare e-mail de spear-phishing a fost elaborat cu o atenţie deosebită asupra detaliilor şi, de obicei, pretinde a veni din partea unor persoane reale din organizaţii legitime, făcând o cerere de rezervare falsă pentru un grup numeros.

De remarcat este faptul că inclusiv utilizatorii atenţi ar putea fi păcăliţi să deschidă şi să descarce anexele din aceste e-mailuri, deoarece includ o mulţime de detalii (de exemplu, copii ale documentelor legale şi motivaţia pentru care fac rezervarea la hotel) şi arată convingător. Singurul detaliu care l-ar da de gol pe atacator ar fi un domeniu de typosquatting (uşor modificat) al organizaţiei.

Şi datele cardurilor de credit ar putea fi compromise

Odată infectat, computerul putea fi accesat de la distanţă nu doar de grupul de infractori cibernetici - dovezile colectate de cercetătorii Kaspersky arată că accesul de la distanţă la recepţiile hotelurilor şi la datele pe care le conţin sunt vândute pe forumuri ilegale, pe bază de abonament. Programele malware au colectat date din fişele hotelurilor, din programele de imprimantă şi au făcut capturi de ecran (această funcţie a fost declanşată folosind anumite cuvinte în engleză sau portugheză).

Deoarece personalul hotelului a copiat de multe ori datele cardului de credit ale clienţilor din OTA pentru a factura, aceste date ar putea fi, de asemenea, compromise.

Telemetria Kaspersky a confirmat existenţa unor ţinte în Argentina, Bolivia, Brazilia, Chile, Costa Rica, Franţa, Italia, Mexic, Portugalia, Spania, Thailanda şi Turcia. În plus, pe baza datelor extrase din Bit.ly, un serviciu popular de scurtare a link-urilor, utilizat de atacatori pentru a răspândi link-uri periculoase, cercetătorii Kaspersky presupun că utilizatorii din multe alte ţări au accesat, cel puţin, link-ul periculos, sugerând că numărul de ţări cu posibile victime ar putea fi mai mare.

Metode de prevenire pentru turişti şi managerii de hoteluri

Pentru a rămâne în siguranţă, turiştii sunt sfătuiţi să:

• Utilizeze un card de plată virtual pentru rezervările efectuate prin OTA, deoarece aceste carduri expiră în mod normal după o singură tranzacţie.
• Atunci când plătesc o rezervare sau fac check out la recepţia hotelului, să utilizeze un portofel virtual, cum ar fi Apple Pay sau Google Pay, sau un card de credit secundar, cu o sumă limitată de bani disponibili.

De asemenea, proprietarii şi managerii de hoteluri trebuie să urmeze aceşti paşi pentru a securiza datele clienţilor:

• Efectuaţi evaluări de risc ale reţelei existente şi implementaţi reglementări privind modul în care sunt gestionate datele clienţilor.
• Utilizaţi o soluţie de securitate fiabilă, cu funcţii de protecţie web şi controlul aplicaţiilor. Protecţia web ajută la blocarea accesului la site-urile de phishing şi la cele infectate, în timp ce controlul aplicaţiilor (în modul „white list”) vă permite să vă asiguraţi că nicio aplicaţie, cu excepţia celor aprobate, nu poate rula pe computerele din hoteluri.
• Introduceţi training-uri în domeniul securităţii cibernetice pentru personal, cu scopul de a-i învăţa pe angajaţi să detecteze tentativele de spear-phishing şi să le arate importanţa de a rămâne foarte atenţi atunci când lucrează cu e-mail-urile primite.