Istraživanje kompanije Kaspersky, koje se odnosi na RevengeHotels kampanju koja je usmerena na sektor hotelijerstva, potvrdilo je da je preko 20 hotela u Latinskoj Americi, Evropi i Aziji postalo žrtva ciljanih malverskih napada. Veliki broj hotela širom sveta je potencijalno ugrožen. Podaci kreditnih kartica koji se skladište u administrativnom sistemu hotela, uključujući i one dobijene od onlajn turističkih agencija (OTAs), su pod rizikom da budu ukradeni i prodati kriminalcima širom sveta.
RevengeHotels je kampanja koja uključuje različite grupe koje koriste tradicionalne daljinske Trojance (RATs) kako bi inficirali kompanije koje posluju u sektoru hotelijerstva. Kampanja je aktivna od 2015. godine, ali je povećala svoje prisustvo tokom 2019. godine. Najmanje dve grupe, RevengeHotels i ProCC, su identifikovane kao deo kampanje, međutim više sajberkriminalnih grupa je potencijalno uključeno.
Glavni vektor napada u ovoj kampanji su i-mejlovi sa priloženim malicioznim Word, Excel ili PDF dokumentima. Neki od njih koriste exploit CVE-2017-0199, preuzimajući ga pomoću VBS i PowerShell skripti i zatim instalirajući prilagođene verzije raznih daljinskih trojanaca ili drugih prilagođenih malvera, poput ProCC, na uređaj žrtve kako bi kasnije mogli da izvršavaju komande i uspostave daljinski pristup inficiranim sistemima.
Svaki fišing i-mejl je napravljen sa posebnom pažnjom za detalje i uglavnom imitira prave ljude iz legitimnih organizacija koji prave lažni zahtev za rezervaciju za veliku grupu ljudi. Vredno je napomenuti da bi čak i oprezni korisnici mogli biti prevareni da otvore i preuzmu priložene materijale iz ovakvih mejlova jer oni sadrže brojne detalje (na primer, kopije pravnih dokumenata i razloge za rezervaciju) i izgledaju uveravajuće. Jedini detalj koji može otkriti napadača bio bi pogrešno napisan domen organizacije (typosquatting).
Kada se jednom inficira, računaru se može pristupiti daljinski ne samo od strane same sajberkriminalne grupe – dokazi prikupljeni od strane istraživača kompanije Kaspersky pokazuju da se daljinski pristup hotelijerskim recepcijama i podacima koje oni sadrže prodaju na kriminalnim forumima na pretplatničkoj osnovi. Malver sakuplja podatke sa klipborda hotelijerskih recepcija, kalemova štampača i zabeleženih skrinšotova (ova funkcija se aktivira korišćenjem određenih reči na engleskom ili portugalskom). Zbog toga što osoblje hotela često kopira podatke kreditnih kartica gostiju sa sajtova onlajn turističkih agencija kako bi im naplatili, ovi podaci mogu takođe biti kompromitovani.
Telemetrija kompanije Kaspersky potvrdila je ciljeve u Argentini, Boliviji, Brazilu, Čileu, Kostariki, Francuskoj, Italiji, Meksiku, Portugalu, Španiji, Tajlandu i Turskoj. Međutim, prema podacima dobijenim sa Bit.ly, popularnog sajta za skraćivanje linkova koji koriste napadači da šire maliciozne linkove, istraživači kompanije Kaspersky pretpostavljaju da su i korisnici iz mnogih drugih zemalja bar pristupili malicioznim linkovima – što znači da broj zemalja sa potencijalnim žrtvama može biti veći.
„Kako korisnici postaju svesniji toga koliko su zaista njihovi podaci zaštićeni, sajber kriminalci se okreću malim preduzećima, koja često nisu dobro zaštićena od sajber napada i poseduju značajnu koncentraciju ličnih podataka. Hotelijeri i druga mala preduzeća koja rade sa korisničkim podacima moraju da budu oprezniji i primenjuju profesionalna bezbednosna rešenja kako bi izbegli curenje podataka koje potencijalno može uticati ne samo na korisnike već i ugroziti reputaciju hotela,“ izjavio je Dmitri Bestužev (Dmitry Bestuzhev) šef GreAT tima za područje Latinske Amerike.
Kako bi ostali bezbedni, putnicima se preporučuje sledeće:
- Koristite virtuelne kartice za plaćanje rezervacija napravljenih preko onlajn turističkih agencija, jer ovakve kartice isteknu posle jednog plaćanja
- Kada plaćate za rezervaciju ili se odjavljujete sa recepcije hotela, koristite virtuelni novčanik, kao što je Apple Pay ili Google Pay, ili sekundarnu kreditnu karticu sa ograničenim dostupnim sredstvima
Vlasnicima hotela i menadžmentu se takođe savetuje da prate sledeće korake kako bi osigurali bezbednost korisničkih podataka:
- Sprovedite procenu rizika postojeće mreže i implementirajte regulacije o tome kako se upravlja korisničkim podacima.
- Koristite pouzdano bezbednosno rešenje sa veb zaštitom i funkcijom kontrole aplikacija, poput Kaspersky Endpoint Security for Business. Veb zaštita pomaže u blokiranju pristupa fišing i malicioznim veb sajtovima dok kontrola aplikacija (u modu bele liste) osigurava da nijedna aplikacija osim onih sa bele liste ne može biti pokrenuta na računarima hotelijerske recepcije.
- Uvedite obuku podizanja svesti o bezbednosti za osoblje kako biste ih naučili kako da uoče pokušaje fišinga i ukazali na značaj opreznosti tokom rada sa dolazećim i-mejlovima.
Pročitajte čitav izveštaj, RevengeHotels: cybercrime targeting hotel desks worldwide, na Securelist.