Kasperski: Infractorii cibernetici fura datele de card ale turistilor din receptiile hotelurilor

Cercetarea Kaspersky asupra campaniei RevengeHotels, ce vizeaza industria ospitalitatii, a confirmat ca peste 20 de hoteluri din America Latina, Europa si Asia au cazut victime ale unor atacuri malware directionate.

Este posibil ca un numar mai mare de hoteluri sa fie afectate pe tot globul. Datele cardurilor turistilor, stocate intr-un sistem de administrare hoteliera, inclusiv cele primite de la agentii online de turism (OTA), risca sa fie furate si vandute infractorilor din intreaga lume.

RevengeHotels este o campanie a diferite grupuri care utilizeaza troieni traditionali cu acces de la distanta (RAT) pentru a infecta companiile din sectorul ospitalitatii. Campania este activa din 2015, dar a inceput sa-si mareasca prezenta in 2019. Cel putin doua grupuri, RevengeHotels si ProCC, au fost identificate ca facand parte din campanie, cu toate ca exista posibilitatea ca mai multe grupuri de infractori cibernetici sa fie implicate.

Principalul vector de atac din aceasta campanie este reprezentat de e-mail-uri cu documente infectate – Word, Excel sau PDF. Unele dintre ele exploateaza vulnerabilitatea CVE-2017-0199, incarcand-o cu ajutorul script-urilor VBS si PowerShell si apoi instaleaza versiuni personalizate ale diferitelor RAT-uri, precum si alte programe malware personalizate, cum ar fi ProCC, pe dispozitivul victimei, care ulterior ar putea executa comenzi si configura accesul de la distanta la sistemele infectate.

Fiecare e-mail de spear-phishing a fost elaborat cu o atentie deosebita asupra detaliilor si, de obicei, pretinde a veni din partea unor persoane reale din organizatii legitime, facand o cerere de rezervare falsa pentru un grup numeros. De remarcat este faptul ca inclusiv utilizatorii atenti ar putea fi pacaliti sa deschida si sa descarce anexele din aceste e-mailuri, deoarece includ o multime de detalii (de exemplu, copii ale documentelor legale si motivatia pentru care fac rezervarea la hotel) si arata convingator.

Odata infectat, computerul putea fi accesat de la distanta nu doar de grupul de infractori cibernetici – dovezile colectate de cercetatorii Kaspersky arata ca accesul de la distanta la receptiile hotelurilor si la datele pe care le contin sunt vandute pe forumuri ilegale, pe baza de abonament. Programele malware au colectat date din fisele hotelurilor, din programele de imprimanta si au facut capturi de ecran (aceasta functie a fost declansata folosind anumite cuvinte in engleza sau portugheza). Deoarece personalul hotelului a copiat de multe ori datele cardului de credit ale clientilor din OTA pentru a factura, aceste date ar putea fi, de asemenea, compromise.

Telemetria Kaspersky a confirmat existenta unor tinte in Argentina, Bolivia, Brazilia, Chile, Costa Rica, Franta, Italia, Mexic, Portugalia, Spania, Thailanda si Turcia. In plus, pe baza datelor extrase din Bit.ly, un serviciu popular de scurtare a link-urilor, utilizat de atacatori pentru a raspandi link-uri periculoase, cercetatorii Kaspersky presupun ca utilizatorii din multe alte tari au accesat, cel putin, link-ul periculos, sugerand ca numarul de tari cu posibile victime ar putea fi mai mare.

„Pe masura ce utilizatorii devin mai precauti in legatura cu cat de protejate sunt cu adevarat datele lor, infractorii cibernetici se indreapta catre afacerile mici, care adesea nu au o protectie foarte buna impotriva atacurilor cibernetice si detin numeroase date cu caracter personal”, explica Dmitry Bestuzhev, Head of Global Research and Analysis Team, America Latina. „Hotelierii si reprezentantii altor firme mici care se ocupa cu datele clientilor trebuie sa fie mai precauti si sa aplice solutii personalizate de securitate pentru a evita scurgerile de date care ar putea sa afecteze nu doar clientii, ci si reputatia hotelului.”

Pentru a ramane in siguranta, turistii sunt sfatuiti sa:

– Utilizeze un card de plata virtual pentru rezervarile efectuate prin OTA, deoarece aceste carduri expira in mod normal dupa o singura tranzactie.

– Atunci cand platesc o rezervare sau fac check out la receptia hotelului, sa utilizeze un portofel virtual, cum ar fi Apple Pay sau Google Pay, sau un card de credit secundar, cu o suma limitata de bani disponibili.

De asemenea, proprietarii si managerii de hoteluri trebuie sa urmeze acesti pasi pentru a securiza datele clientilor:

– Efectuati evaluari de risc ale retelei existente si implementati reglementari privind modul in care sunt gestionate datele clientilor.

– Utilizati o solutie de securitate fiabila, cu functii de protectie web si controlul aplicatiilor. Protectia web ajuta la blocarea accesului la site-urile de phishing si la cele infectate, in timp ce controlul aplicatiilor (in modul „white list”) va permite sa va asigurati ca nicio aplicatie, cu exceptia celor aprobate, nu poate rula pe computerele din hoteluri.

– Introduceti training-uri de awareness in domeniul securitatii cibernetice, pentru personal, cu scopul de a-i invata pe angajati sa detecteze tentativele de spear-phishing si sa le arate importanta de a ramane foarte atenti atunci cand lucreaza cu e-mail-urile primite.

Cititi raportul complet, RevengeHotels: cybercrime targeting hotel desks worldwide, pe Securelist.