Tài khoản khách sạn bị hack trên Booking.com (Phần 1)

Những kẻ tấn công đang chiếm đoạt tài khoản khách sạn trên Booking.com và đánh cắp dữ liệu ngân hàng của khách hàng thông qua hệ thống nhắn tin nội bộ của trang này.

​Một kế hoạch tấn công mới đang rất phổ biến với tội phạm mạng: lừa đảo khách hàng của Booking.com thông qua hệ thống nhắn tin nội bộ của dịch vụ. Để làm điều này, họ sử dụng tài khoản khách sạn bị xâm nhập trên admin.booking.com. Trong vài tháng qua, nhiều công ty khác nhau đã công bố các nghiên cứu về những sự cố kiểu này. Dưới đây là bản phân tích chi tiết về cách thức hoạt động của cuộc tấn công này và các mẹo về cách chủ sở hữu và nhân viên khách sạn có thể tự bảo vệ mình (và khách hàng của họ).

Lây nhiễm máy tính của nhân viên khách sạn bằng phần mềm đánh cắp mật khẩu

Những gì chúng ta đang giải quyết ở đây là một cuộc tấn công nhiều giai đoạn - B2B2C, nếu bạn muốn. Tất cả bắt đầu bằng việc lây nhiễm vào máy tính của khách sạn, nhưng mối đe dọa trước mắt không phải đối với chính khách sạn mà là đối với khách hàng.

Để chiếm đoạt tài khoản trên admin.booking.com, kẻ tấn công sử dụng phần mềm độc hại chuyên dụng được gọi là phần mềm đánh cắp mật khẩu. Thông thường, những kẻ đánh cắp này thu thập bất kỳ mật khẩu nào được tìm thấy trên máy tính bị nhiễm virus. Nhưng trong trường hợp này, có vẻ như các tài khoản Booking.com mới là thứ mà tội phạm mạng đặc biệt quan tâm.

Đặc biệt, một trong những nghiên cứu nêu trên mô tả một cuộc tấn công bằng email có chủ đích vào nhân viên khách sạn. Cuộc tấn công này bắt đầu bằng một email vô hại, trong đó ai đó đóng giả là khách gần đây và yêu cầu nhân viên khách sạn trợ giúp tìm tài liệu bị mất.

Trong email tiếp theo, “khách” tuyên bố đã tìm kiếm hộ chiếu bị mất hoặc bất cứ thứ gì khắp nơi nhưng không có kết quả, cho thấy khách sạn là nơi duy nhất có thể tìm thấy nó. Vì vậy, họ yêu cầu nhân viên khách sạn tìm kiếm và cung cấp một liên kết được cho là chứa ảnh hộ chiếu bị mất để hỗ trợ việc tìm kiếm.

Kho lưu trữ này không chứa ảnh hộ chiếu mà là kẻ đánh cắp mật khẩu. Sau khi người dùng nhấp vào tệp nguy hiểm, kẻ đánh cắp sẽ tìm kiếm hệ thống để tìm thông tin đăng nhập đã lưu cho tài khoản của khách sạn trên admin.booking.com và gửi chúng cho những kẻ tấn công.

Một nghiên cứu khác về nạn trộm tài khoản Booking.com mô tả một phương pháp khác để lây nhiễm vào máy tính của nhân viên khách sạn. Trong cuộc tấn công này, bọn tội phạm tạo đặt chỗ bằng tài khoản khách (trong một số trường hợp, có thể là tài khoản bị đánh cắp). Sau đó, họ liên hệ với khách sạn bằng hệ thống nhắn tin nội bộ của Booking.com và, bằng lý do này hay lý do khác, gửi một liên kết đến tệp bị nhiễm phần mềm độc hại — với kết quả giống hệt như trường hợp trước.

Mời bạn xem tiếp chiêu trò lừa đảo và hack tài khoản Booking.com trong phần 2 của bài viết tại đây.

Hương – Theo Kaspersky Blog