روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ موقع تعطیلات کریسمس و جشن سال نو که می شود مجرمان سایبری حسابی جولان می‌دهند. نمونه‌اش اسکمِ سایت بوکینگ و فریب کلاینت‌ها با سیستم پیام‌رسان داخلی این سرویس. برای انجام این کار آن‌ها از اکانت‌های دستکاری‌شده هتل روی سایت admin.booking.com استفاده می‌کنند. در طول چند ماه گذشته شرکت‌های مختلفی مطالعاتی انجام دادند در مورد رخدادهایی که ماهیتی این چنین داشته‌اند. در ادامه قرار است به ساز و کار این حمله و توصیه‌هایی به صاحبان هتل و کارمندان آن برای محافظت از خود و مشتریان بپردازیم. با ما همراه باشید.

آلوده‌سازی کامپیوتر کارمندان هتل با سارق پسورد

آنچه اینجا با آن سر و کار داریم، یک حمله چند مرحله‌ای است: B2B2C. همه‌اش با آلوده کردن کامپیوترهای هتل شروع می‌شود اما تهدید فوری خود هتل نیست بلکه کلاینت‌ها هستند. برای سرقت اکانت‌ها در سایت admin.booking.com مهاجمین از بدافزار تخصصی معروف به سارق پسورد استفاده می‌کنند. معمولاً این سارق‌ها هر پسوردی را روی کامپیوتر آلوده جمع‌آوری می‌کنند. اما در این مورد به نظر می‌رسد اکانت‌های  Booking.com درست همان چیزی هستند که مجرمان سایبری مشخصاً دنبال می‌کنند. به طور خاص یکی از مطالعاتی که پیشتر اشاره کردیم شرح‌دهده حمله ایمیل هدف‌دار به کارکنان هتل است. این حمله با ایمیلی بی‌خطر شروع می‌شود که در آن فردی خود را جای مهمان جدید می‌زند و از کارکن هتل درخواست دارد داکیومنت‌های گمشده‌اش را پیدا کند.

در ایمیل بعدی، مهمان ادعا دارد که همه‌جا را برای پاسپورت گمشده‌اش گشته و پیدا نشده و می‌گوید تنها جایی که ممکن است داکیومنت مفقوده آنجا باشد همان هتل است. پس کارکنان هتل ازشان خواسته می‌شود دنبال آن داکیومنت‌ها بگردند و برای کمک به این عملیات گشت، لینکی خواسته می‌شود که ظاهراً حاوی عکس‌هایی از پاسپورت گمشده است. همانطور که ظن می‌رود، این آرشیو نه تنها حاوی عکس‌های پاسپورت نیست که از قضا سارق پسورد است. بعد از اینکه کاربر روی فایل خطرناک کلیک می‌کند سارق سیستم را می‌گردد تا به اطلاعات لاگین ذخیره‌شده برای اکانت هتل در  admin.booking.com برسد و بعد آن را برای مهاجمین می‌فرستد.

تحقیق دیگر روی اپیدمی سرقت اکانت Booking.com  متود جایگزین آلوده‌سازی کامپیوتر کارمندان هتل را شرح می‌دهد. در این حمله، مجرمان با استفاده از اکانت‌های مهمان (در برخی موارد شاید اکانت‌های سرقتی) رزرواسیون انجام می‌دهند. بعد با استفاده از سیستم پیام‌رسان داخلی سایت بوکینگ با یک بهانه با هتل ارتباط می‌گیرند، لینکی به فایل آلوده به بدافزار را با همان خروجیِ پرونده قبلی لینک می‌دهند.

سرقت اکانت‌های هتل در سایت بوکینگ و ایمیل زدن به کلاینت‌ها

در مرحله بعدی، مهاجمین تا استفاده مستقیم از اکانت‌های سرقتیِ کامپیوترهای آلوده هتل پیش می‌روند. همه‌چیز با این حقیقت که سرویس بوکینگ احراز هویت دوعاملی ارائه نمی‌دهد آسانتر نیز می‌شود؛ پس دسترسی به یک اکانت تنها نیاز به لاگین و پسورد دارد. با ورود به اکانت هتل در سایت  admin.booking.com مجرمان سایبری رزروهای فعلی را بررسی می‌کنند و با استفاده از سیستم پیام‌رسان داخلی سایت بوکینگ شروع  به ارسال پیام‌هایی به مهمان‌های آتی می‌کنند. این پیام‌ها معمولاً حول محور خطایی در تأیید اطلاعات پرداخت مهمان در طول بوکینگ می‌گردد. سپس هتل از مهمان می‌خواهد دوباره جزئیات کارت را بزند در غیر این صورت رزرواسیون لغو خواهد شد. البته این پیام‌ها شامل لینک‌هایی می‌شود که در نگاه اول شبیه به لینک‌های واقعی سایت بوکینگ هستند؛ چیزی مانند شماره رزرو و در برخی موارد کلماتی اضافی مانند «رزرو»، «تأیید»، «ثبت» و غیره را نیز شامل می‌شود. البته اگر کمی دقت بیشتر خرج شود کاملاً می‌شود پی برد این لینک‌ها هرگز به Booking.com ختم نمی‌شوند. با این حال هدف اینجا افراد عجولی هستند که به طور غیرمنتظره‌ای می‌فهمند سفر برنامه‌ریزی‌شده‌شان می‌تواند خراب شود و برای همین هر کاری می‌کنند تا شرایط را در حالت نرمال نگه دارند.

پیام‌ها با لحنی حرفه‌ای نوشته شده اند و کاملاً قابل قبول به نظر می‌رسند. همچنین باید توجه داشت که متن چنین پیام هایی از یک رخداد توصیف شده به رخداد دیگر به طور قابل توجهی متفاوت است. ظاهراً تعدادی از مجرمان مستقل از یکدیگر از این طرح استفاده می‌کنند.

کپی‌های جعلی از Booking.com و سرقت داده‌های کارت بانکی

مرحله پایانی حمله آغاز می‌شود. با کلیک بر روی لینک موجود در پیام، مشتری هتل در یک صفحه جعلی قرار می گیرد - یک کپی دقیق از Booking.com. این صفحات حتی نام صحیح مهمان، اطلاعات هتلی که قربانی قصد اقامت در آن را دارد، تاریخ ها و قیمت را نشان می‌دهد - که کلاهبرداران همه این موارد را می‌دانند زیرا به تمام داده های رزرو دسترسی دارند. تنها چیزی که شاید شک‌برانگیز اشد لینک داخل نوار آدرس است. با این حال، کلاهبرداران با عجله قربانی را از توجه به چنین جزئیات جزئی منحرف می‌کنند: این صفحه ادعا می‌کند که این تاریخ ها تقاضای زیادی دارند، بنابراین "10 هتل چهار ستاره مشابه این هتل در حال حاضر در دسترس نیستند". البته مفهوم این است که اگر این رزرو با شکست مواجه شود، یافتن محل اقامت جایگزین آسان نخواهد بود.

بار دیگر از قربانیان خواسته می‌شود رزرو را در اسرع وقت تایید کنند. علاوه بر این، انجام آن آسان است: فقط اطلاعات پرداخت را دوباره وارد کنید. بدیهی است که جزئیات کارت پس از آن به دست مجرمان می افتد - ماموریت انجام شد.

فروش لاگین‌ و پسورد هتل برای سایت بوکینگ

جا دارد اشاره کنیم که مانند تقریباً هر نقشه دیگر مجرمان سایبری این تکنیک هم به تخصص محدود میل دارد. ظاهراً برخی مجرمان اکانت‌های هک‌شده‌ی سایت بوکینگ را جمع می‌کنند و این درحالیست که بقیه این اکانت‌ها را برای فریب دادن کلاینت‌ها اکسپلویت می‌کنند. به هر روی آگهی‌های تبلیغاتی که مقادیر نجومی برای لاگین و پسورد اکانت‌های admin.booking.com پیشنهاد می دهند می‌توانند در تالارهای هکری پیدا شوند.

با این حال گروه دیگری از مجرمان، خدمات مبتنی بر اشتراک را برای جستجوی داده‌های ارزشمند سرقت شده در پایگاه‌های داده بدافزار سارق ارائه می‌کنند، اخیراً admin.booking.com را به فهرست داده‌های قابل جستجو خود اضافه کرده‌اند. همه اینها نشان می‌دهد که محبوبیت این طرح مجرمانه در حال افزایش است. بنابراین، احتمالاً هک‌های بیشتری از حساب های هتل در Booking.com و مشتریان تحت تأثیر بیشتری در آینده وجود خواهد داشت.

راهکارهای امنیتی

اگرچه این حملات مستقیم کلاینت‌های هتل را به جای خود هتل‌ها تهدید می‌کند اما هتل‌ها هنوز باید با این مسئله مقابله کنند و برای جلوگیری از خدشه‌دار شدن اعتبارشان خسارت طرف‌های آسیب‌دیده را بپردازند. و در کل، اینکه کامپیوترهای هتل آلوده شوند خبر خوبی نیست- امروز مجرمان سایبری اکانت‌های سایت بوکینگ را سرقت می‌کنند و فردا خدا داند قرار است چه ترفند دیگری برای سرکیسه کردن پیدا خواهد کرد. از این رو لازم است در برابر این تهدید از خود محافظت کنیم. توصیه ما این است که:

•         ذخیره رمزهای عبور در مرورگر شما ایمن نیست - بدافزار سارق همیشه به دنبال آنها می‌گردد.
•         برای به خوبی ذخیره کردن رمزهای عبور ، از یک برنامه تخصصی - یک مدیر رمز عبور - استفاده کنید که از امنیت آنها مراقبت می‌کند.
•         نصب محافظ قابل اعتماد در تمام دستگاه‌های مورد استفاده برای تجارت ضروری است.
•         و مراقب امنیت آن دسته از کامپیوترهایی باشید که کارمندان ممکن است برای برقراری ارتباط با غریبه‌ها از آن‌ها استفاده کنند - آنها بیشتر هدف حمله قرار می‌گیرند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.