Microsoft: Phishing καμπάνια στο χώρο της φιλοξενίας που μιμείται την Booking.com

• Από τον Δεκέμβριο του 2024, ενόψει της αυξημένης ταξιδιωτικής κίνησης κατά την εορταστική περίοδο, η Microsoft Threat Intelligence εντόπισε μια εκτεταμένη phishing καμπάνια που μιμείται την Booking.com και στοχεύει οργανισμούς του κλάδου της φιλοξενίας. Η καμπάνια χρησιμοποιεί μια τεχνική κοινωνικής μηχανικής, γνωστή ως ClickFix, για να διανέμει πολλαπλά κακόβουλα προγράμματα που κλέβουν διαπιστευτήρια, με στόχο τη διεξαγωγή οικονομικής απάτης και κλοπής. Μέχρι τον Φεβρουάριο του 2025, η καμπάνια αυτή παραμένει ενεργή.

Στόχευση του Κλάδου της Φιλοξενίας

Αυτή η phishing επίθεση στοχεύει άτομα που εργάζονται σε οργανισμούς φιλοξενίας στη Βόρεια Αμερική, την Ωκεανία, τη Νότια και Νοτιοανατολική Ασία, καθώς και στη Βόρεια, Νότια, Ανατολική και Δυτική Ευρώπη. Οι επιτιθέμενοι αποστέλλουν ψεύτικα emails που φαίνονται να προέρχονται από την Booking.com, επιχειρώντας να ξεγελάσουν τα θύματα και να τα παρασύρουν σε κακόβουλες ενέργειες.

Η Τεχνική ClickFix

Στην τεχνική ClickFix, οι κυβερνοεγκληματίες εκμεταλλεύονται την ανθρώπινη τάση επίλυσης προβλημάτων, εμφανίζοντας ψεύτικα μηνύματα σφάλματος ή προτροπές. Αυτές οι προτροπές καθοδηγούν τους χρήστες να αντιγράψουν, να επικολλήσουν και να εκτελέσουν εντολές που τελικά οδηγούν στη λήψη κακόβουλου λογισμικού. Λόγω αυτής της ανάγκης για αλληλεπίδραση από τον χρήστη, η επίθεση μπορεί να παρακάμψει τα συμβατικά και αυτοματοποιημένα συστήματα ασφαλείας. Στη συγκεκριμένη phishing καμπάνια, ο χρήστης καλείται να χρησιμοποιήσει μια συντόμευση πληκτρολογίου για να ανοίξει το παράθυρο Run των Windows, να επικολλήσει μια εντολή που έχει προστεθεί στο clipboard και να την εκτελέσει.

Storm-1865: Η Κυβερνοεγκληματική Ομάδα

Η Microsoft παρακολουθεί αυτή την καμπάνια υπό την κωδική ονομασία Storm-1865, μια ομάδα δραστηριοτήτων που συνδέεται με phishing επιθέσεις που οδηγούν σε κλοπή δεδομένων πληρωμών και δόλιες χρεώσεις. Οι επιχειρήσεις μπορούν να μειώσουν τον αντίκτυπο τέτοιων επιθέσεων εκπαιδεύοντας το προσωπικό τους στο να αναγνωρίζει παρόμοιες απειλές. Παράλληλα, η Microsoft προτείνει συγκεκριμένες στρατηγικές άμυνας για την αποτροπή αυτών των επιθέσεων.

Πώς Λειτουργεί η Phishing Καμπάνια

Η Storm-1865 εντοπίζει πιθανούς στόχους στον τομέα της φιλοξενίας και αποστέλλει παραπλανητικά emails που προσποιούνται ότι προέρχονται από την Booking.com. Το περιεχόμενο των emails ποικίλει, περιλαμβάνοντας:

• Αρνητικές κριτικές από πελάτες
• Αιτήματα από πιθανούς επισκέπτες
• Προτάσεις για διαδικτυακή προώθηση
• Επιβεβαιώσεις λογαριασμών

Τα emails περιλαμβάνουν έναν σύνδεσμο ή ένα συνημμένο αρχείο PDF που περιέχει τον σύνδεσμο, ο οποίος φαίνεται να οδηγεί στην Booking.com. Όταν το θύμα κάνει κλικ, μεταφέρεται σε μια ψεύτικη ιστοσελίδα που εμφανίζει ένα ψεύτικο CAPTCHA πάνω από μια ελαφρώς θολή σελίδα που μιμείται τη γνήσια Booking.com.

Η Χρήση του ClickFix για Διανομή Κακόβουλου Λογισμικού

Το ψεύτικο CAPTCHA είναι το σημείο όπου ενεργοποιείται η τεχνική ClickFix. Η ιστοσελίδα καθοδηγεί τον χρήστη να χρησιμοποιήσει μια συντόμευση πληκτρολογίου για να ανοίξει το παράθυρο Run των Windows, να επικολλήσει μια εντολή από το clipboard και να την εκτελέσει. Η εκτέλεση αυτής της εντολής οδηγεί στη λήψη και εγκατάσταση κακόβουλου λογισμικού, το οποίο στη συνέχεια μπορεί να υποκλέψει διαπιστευτήρια σύνδεσης και να επιτρέψει στους επιτιθέμενους να αποκτήσουν πρόσβαση σε τραπεζικές πληροφορίες και άλλες ευαίσθητες επιχειρηματικές λεπτομέρειες.

Μέτρα Προστασίας και Αντιμετώπισης

Για την αντιμετώπιση τέτοιων απειλών, οι επιχειρήσεις στον τομέα της φιλοξενίας μπορούν να εφαρμόσουν τα παρακάτω μέτρα:

• Εκπαίδευση προσωπικού: Συνεχής ενημέρωση σχετικά με τις τεχνικές phishing και την αναγνώριση παραπλανητικών emails.
• Αυστηρότερη ασφάλεια email: Χρήση φίλτρων για την ανίχνευση ύποπτων emails και την αποτροπή παράδοσης κακόβουλων συνδέσμων.
• Πολιτικές ασφαλείας: Απαγόρευση της εκτέλεσης μη εγκεκριμένων εντολών από χρήστες.
• Εφαρμογή πολυπαραγοντικού ελέγχου ταυτότητας (MFA): Πρόσθετο επίπεδο ασφάλειας για την προστασία των λογαριασμών χρηστών.

Η απειλή του phishing εξελίσσεται συνεχώς, και οι επιχειρήσεις του κλάδου της φιλοξενίας πρέπει να παραμένουν σε εγρήγορση. Η ενημέρωση και η λήψη κατάλληλων μέτρων ασφαλείας μπορούν να μειώσουν τον κίνδυνο κυβερνοεπιθέσεων και να προστατεύσουν τις ευαίσθητες επιχειρηματικές πληροφορίες τους.