Cyber-kriminalci su pokrenuli sofisticirani phishing napad ciljajući na Booking.com, jednu od vodećih svjetskih platformi za online putovanja.
Ovaj napad, karakteriziran svojom složenošću i visokom stopom uspješnosti, evoluirao je tokom protekle godine, predstavljajući značajan rizik za menadžere hotela i klijente.
Ovaj tekst ulazi u zamršenost napada, naglašavajući metode koje koriste cyber kriminalci i nudi smjernice o tome kako se zaštititi od takvih prijetnji .
Dvofazna strategija napada
Fišing napad se odvija u dvije osnovne faze. Prvo, napadači kompromituju Booking.com naloge menadžera hotela. Ovo početno kršenje omogućava im da dobiju pristup osjetljivim informacijama i komunikacijskim kanalima.
U drugoj fazi, napadači iskorištavaju kompromitovane račune da prevare hotelske goste putem službene Booking.com aplikacije, kako je izvijestio osintmatter.
Lažna domena
Ova dvofazna strategija se pokazala veoma efikasnom, što je čini jednom od najprofitabilnijih prevara u okruženju sajber pretnji.
Napadači započinju registracijom varljive domene, ‘extraknet-booking.com’, koja liči na ‘extranet-booking.com’, legitimnu poddomenu koju koriste menadžeri hotela Booking.com-a.
Napadači prevare hotelske menadžere da unesu svoje akreditive za prijavu kreiranjem lažnog portala koji oponaša službeni Booking.com interfejs. Ovo omogućava cyber kriminalcima da prikupe osjetljive informacije, uključujući lične i finansijske podatke.
Napadači koriste različite tehnike kako bi namamili žrtve na lažnu stranicu, od tradicionalnih lažiranih e-poruka do naprednog SEO trovanja.
Manipulirajući optimizacijom za pretraživače, oni osiguravaju da se njihova zlonamjerna stranica visoko kotira u rezultatima pretraživanja, privlačeći nesuđene korisnike.
Kada napadači pristupe nalozima menadžera hotela, prelaze na drugu fazu: ciljanje hotelskih kupaca.
Koristeći zvaničnu aplikaciju Booking.com, gosti šalju lažne poruke, često pod krinkom legitimne komunikacije. Ova metoda kapitalizira povjerenje korisnika u platformu, povećavajući vjerovatnoću uspješnih prijevara.
JavaScript obfuscation
Jedna od istaknutih karakteristika phishing stranice je korištenje JavaScript zamagljivanja. Kodiranjem nizova i korištenjem složenih skripti, napadači otežavaju automatiziranim alatima i istraživačima analizu koda.
Phishing stranica
Ovo zamagljivanje ne samo da prikriva zlonamerne aktivnosti, već i nagoveštava moguće geografsko poreklo napadača, o čemu svedoči upotreba ćiriličnog pisma u kodu.
STUN obavezujući zahtjevi
Napadači takođe koriste Uslužne programe za prelazak sesije za NAT (STUN) obavezujuće zahtjeve kako bi olakšali međusobnu komunikaciju.
Ovu tehniku, koja se obično koristi u legitimnim aplikacijama kao što su VoIP pozivi, napadači prenamjenjuju kako bi eksfiltrirali podatke i održavali komunikaciju s kompromitovanim sistemima. Neuobičajena količina i upotreba porta ovih zahtjeva ukazuju na zlonamjernu namjeru.
STUN obavezujući zahtjevi
Dynamic Cloaking
Dinamičko prikrivanje je još jedna napredna taktika koja se koristi u ovom napadu. Napadači mogu izbjeći otkrivanje pokazujući različite sadržaje različitim korisnicima ili sistemima.
Stranica za krađu identiteta služi ili lažni portal, originalnu stranicu Booking.com ili stranice s greškama na osnovu specifičnih uslova, kao što su IP adresa korisnika ili postavke pretraživača.
Phishing Portal
Značajno otkriće tokom istrage bilo je korištenje iFramea koji povezuje brojne phishing stranice koje ciljaju Booking.com i slične stranice.
Ovaj iFrame je centralno čvorište koje distribuira zlonamjerni sadržaj na više lokacija. Napadačima pruža centraliziranu kontrolu, širok domet i vrijedne analitičke podatke, omogućavajući im da optimiziraju i preciziraju svoju strategiju napada.
Ovaj sofisticirani phishing napad na Booking.com naglašava evoluirajuću prirodu cyber prijetnji i potrebu za snažnim mjerama cyber sigurnosti. I putnici i menadžeri hotela moraju ostati na oprezu i poduzeti proaktivne korake kako bi se zaštitili.
Kako cyber kriminalci nastavljaju da usavršavaju svoje taktike, informisanost i oprez su ključni za zaštitu ličnih i finansijskih informacija.
Izvor:CybersecurityNews