Pesquisadores de segurança descobriram uma campanha de roubo de informações em várias etapas em que os hackers violam os sistemas de hotéis, sites de reservas e agências de viagens e, em seguida, usam seu acesso para buscar dados financeiros pertencentes aos clientes.
Ao usar essa abordagem indireta e uma página falsa de pagamento da Booking.com, os cibercriminosos encontraram uma combinação que garante uma taxa de sucesso significativamente maior na coleta de informações de cartão de crédito.
Normalmente, os pesquisadores observam campanhas de roubo de informações que visam a indústria hoteleira (por exemplo, hotéis, agências de viagens) usando "técnicas avançadas de engenharia social" para entregar um malware roubador de informações.
Começa com uma simples consulta para fazer uma reserva ou refere-se a uma já existente, dizem pesquisadores da Perception Point de cibersegurança em um relatório no início deste mês.
Depois de estabelecer comunicação com o hotel, os criminosos invocam um motivo, como uma condição médica ou um pedido especial para um dos viajantes, para enviar documentos importantes por meio de um URL.
O URL leva a um malware de roubo de informações projetado para operar furtivamente e coletar dados sensíveis, como credenciais ou informações financeiras.
Em um novo relatório nesta semana, pesquisadores da empresa de internet Akamai dizem que o ataque vai além da etapa descrita acima e passa a visar os clientes da entidade comprometida.
Tendo um canal de comunicação direto e confiável com a vítima final, os cibercriminosos podem enviar sua mensagem de phishing disfarçada como um pedido legítimo do hotel, serviço de reserva ou agência de viagens comprometidos.
A mensagem pede uma verificação adicional do cartão de crédito e se baseia nos ingredientes comuns de um texto de phishing: exige ação imediata e usa uma lógica sólida para explicá-la.
Guez observa que a mensagem "é escrita profissionalmente e modelada depois das interações genuínas dos hotéis com seus hóspedes", o que elimina todas as suspeitas de um truque.
"É importante lembrar que essa mensagem vem da própria plataforma de mensagens do site de reservas", destaca o pesquisador.
Como a comunicação vem do site de reservas pelo canal oficial, o alvo não tem motivos para duvidar de sua legitimidade.
Guez diz que a vítima recebe um link para a suposta verificação do cartão para manter a reserva.
O link dispara na máquina da vítima um executável que é codificado em um complexo script base64 em JavaScript.
O pesquisador enfatiza que o propósito do script é detectar informações sobre o ambiente de navegação e é projetado para tornar a análise significativamente mais difícil.
O invasor também incluiu várias técnicas de validação de segurança e anti-análise para garantir que apenas vítimas em potencial cheguem à próxima etapa do golpe, que mostra uma falsa página de pagamento da Booking.com.
Apesar da abordagem mais sofisticada que torna o truque muito difícil de detectar, Guez diz que os sinais regulares indicando um possível golpe ainda poderiam revelar a fraude.
Os usuários devem evitar clicar em links não solicitados, mesmo que pareçam legítimos, desconfiar de mensagens urgentes ou ameaçadoras pedindo ação imediata e verificar URLs para indicadores de engano.
No entanto, para garantir que você não seja vítima de campanhas de phishing mais complexas, a ação recomendada é entrar em contato diretamente com a empresa em um endereço de e-mail oficial ou número de telefone e pedir esclarecimentos sobre a mensagem.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...