Security Week 2349: кибермошенничество при бронировании отелей

На прошлой неделе специалисты команды Secureworks поделились свежими приемами онлайн-мошенничества, связанного с турпоездками. Это и раньше была благодатная тема для разного рода кибератак, но речь шла скорее о прямых атаках на пользователей. Новая схема более сложная, она начинается со взлома учетной записи владельцев отелей на сервисе Booking.com.

0hbq2od4eborzvy9rwmi-u9qdqc.jpeg

Исследователи обнаружили вредоносное ПО, которое направлено именно на поиск бизнес-учеток на Booking.com. Заражаются компьютеры гостиницы просто: на адрес отеля приходит письмо якобы от бывшего постояльца с просьбой поискать в номере забытый паспорт. К письму приложена ссылка на фотографию паспорта — по клику на ссылку и загружается вредоносная программа. Через некоторое время после того, как злоумышленник получает доступ к учетке на сервисе бронирования, всем, кто имеет бронь в отеле рассылаются сообщения с просьбой оплатить проживание заранее. Важным моментом является то, что общение с жертвами происходит через сервис Booking.com и выглядит максимально правдоподобно.
Туристический скам осложняется тем, что именно в этом сценарии потенциальные жертвы морально подготовлены и к сообщениям от незнакомых людей, и к плохому английскому, и к оплате нестандартными способами. Это мало отличается от реальной коммуникации во многих гостиницах по всему миру. Дело оказалось настолько выгодное, что на черном рынке за работающий доступ к бизнес-учетке для сервиса Booking.com предлагают до двух тысяч долларов. Проблема настолько же серьезна, насколько очевидно ее решение — внедрить защиту учетных записей для гостиниц не хуже, чем для доступа к корпоративному банковскому счету.

Что еще произошло:

Эксперты «Лаборатории Касперского» продолжают публикацию отчетов по эволюции киберугроз. Уже вышли три отчета за третий квартал 2023 года: общий обзор, статистика по угрозам на ПК и по мобильным устройствам. Кроме того, выложена сводная статистика по развитию угроз за весь год. Еще одна публикация «Лаборатории Касперского» подробно разбирает троянскую программу для MacOS, распространяемую с пиратским ПО.

На прошлой неделе широкое внимание привлекло к себе исследование компании Binarly, которая обнаружила в прошивках UEFI разных производителей множество уязвимостей, связанных с кодом для обработки изображений. Потенциальные атаки с использованием этих уязвимостей могут быть использованы для создания опасного вредоносного ПО, способного пережить переустановку операционной системы. Уязвимости LogoFAIL в общих чертах описаны на сайте компании и в этой новости на Хабре. Интересный момент: авторы отчета обвинили компанию Phoenix Technologies, одного из пострадавших разработчиков прошивок, в преждевременном раскрытии информации об уязвимостях. Обычно такого рода претензии направляются в противоположную сторону — от недовольных вендоров к независимым исследователям, которые спешат опубликовать результаты своей работы побыстрее. Сама компания Binarly раскроет технические детали исследования на этой неделе.

Свежие уязвимости в браузерном движке Webkit закрыты как в браузере Chrome, так и в прошивках для мобильных устройств компании Apple. Команда Google Threat Analysis Group, обнаружившая уязвимости, наблюдает одну из семи проблем в активной эксплуатации.

© Habrahabr.ru