Публикувана на 14.03.2025 от Questo
Последна промяна на 17.03.2025
Фишинг кампания атакува собствениците на хотели в Източна Европа и служителите им, използващи платформата за резервации Booking.com.
Целта й е да открадне номера на банкови карти и кодовете за сигурност, използвайки необичайна манипулативна техника, предупреждават от Microsoft Threat Intelligence.
Booking е една от най-предпочитаните платформи за туристически резервации в България.
„Иновацията“ се състои в това, че след като отвори имейла и бъде препратен към фалшив сайт, имитиращ Booking, потребителят трябва да потвърди самоличността си като….зареди и изпълни команда в командния прозорец на Windows.
Ако потребителят изпълни командата, на компютъра му се инсталира зловреден софтуер, който краде данните за банковата му карта и след това от нея могат да бъдат източени пари.
Оказва се, че тази фишинг тактика е ефективна именно заради необичайната форма на „верификация“. Повечето от нас са свикнали да се верифицират като кликат върху светофари, въвеждат символни комбинации или наместват парченца от пъзел, за да докажат, че не са робот.
Атака срещу собственици и служители на хотели
Характерно за кампанията е, че таргетира именно служители или собственици на хотели, а не техните гости.
Потребителят получава имейл, чието съдържание може да варира, но обикновено е нещо от рода на: „Искахме да почиваме във вашия хотел, но видяхме негативен коментар за него. Бихте ли коментирали?“
Целта е представителят на хотела да кликне върху фишинг линка.
„Щракването върху връзката води до сайт, който показва фалшива CAPTCHA, насложена върху едва видим фон, предназначен да имитира легитимна страница на Booking.com – коментират анализаторите – Този сайт създава илюзията, че Booking.com използва допълнителни проверки за проверка, които могат да дадат на целевия потребител фалшиво чувство за сигурност и следователно да увеличат риска да бъдат компрометирани. Фалшивият CAPTCHA е мястото, където сайтът използва социално инженерство за изтегляне на злонамерения софтуер. Тази техника инструктира потребителя да използва клавишна комбинация, за да отвори прозорец за изпълнение на Windows, след което да постави и стартира команда, която уеб страницата добавя към клипборда.“
Сайтът се опитва да ви убеди, че за да потвърдите, че сте човек, трябва да отворите командния прозорец на Windows, да въведете в него команда и да я изпълните. Ето как изглежда:
Според анализаторите тази фишинг кампания разпространява различни видове зловреден код като например XWorm, Lumma, VenomRAT, AsyncRAT, Danabot, и NetSupport RAT.
Как да се предпазите
Ако някой иска да въвеждате каквито и да е команди на устройството си, включително и в конзолата на браузъра, не го правете. Най-вероятно той се опитва да инсталира на устройството ви опасен код.
Научете се да разпознавате фишинг имейли.
Научете се да разпознавате фишинг сайтове.
Използвайте двуфакторна автентикация, където е възможно.
Когато получите съмнителен имейл от Booking или която и да е платформа, опитайте да се свържете с платформата за потвърждение, вместо да изпълнявате заръките в имейла.
Подобни статии
