Pesquisa da
Kaspersky revela campanha RevengeHotels, que é direcionada ao setor hoteleiro e
confirmou mais de 20 hotéis na América Latina, Europa e Ásia como vítimas
destes ataques direcionados. É possível que mais hotéis ao redor do mundo
tenham sido afetados e há um risco de que os dados de cartões de crédito dos
viajantes armazenados em seus sistemas de administração, inclusive os recebidos
de agências de viagens online, tenham sido roubados e vendidos a criminosos em
todo o mundo.
A campanha RevengeHotels inclui vários
grupos que usam trojans de acesso remoto (RATs) tradicionais para infectar
empresas do setor hoteleiro. Ativa desde 2015, ela iniciou sua expansão em 2019
e foram identificados pelo menos dois grupos participantes, o RevengeHotels e o
ProCC, mas é possível que outros cibercriminosos estejam envolvidos.
O principal vetor de ataque são e-mails
com documentos maliciosos anexos em formato Word, Excel ou PDF. Alguns deles
exploram a vulnerabilidade CVE-2017-0199, que é carregada usando scripts VBS e
do PowerShell e instalam versões personalizadas do trojan RATs e outros
malwares personalizados, como o ProCC, no computador da vítima. Após obter
acesso, os criminosos poderiam executar comandos e configurar o acesso remoto
aos sistemas infectados.
Os e-mails de spear-phishing foram
elaborados com muitos detalhes e, em geral, usam pessoas reais e de
organizações verdadeiras para realizar a solicitação de reserva falsa para um
grande grupo de pessoas. Mesmo os usuários mais cuidadosos poderiam ser
enganados e acabariam abrindo e baixando os anexos do golpe, pois eles incluem
muitos detalhes - como cópias de documentos oficiais e motivos para fazer a
reserva no hotel - e são extremamente convincentes. O único detalhe capaz de
revelar o golpe seria um erro de grafia no domínio da organização.
|
|
Phishing imitando
uma solicitação de reserva de um escritório de advocacia
O computador infectado só podia ser
acessado remotamente pelo próprio grupo criminoso e o malware atua na coleta de
dados nas áreas de transferência, sistemas de impressão e capturas de tela
(essa função é acionada usando palavras específicas em inglês ou em português)
nos computadores da recepção. Como os funcionários dos hotéis muitas vezes
copiam dados de cartões de crédito dos clientes das agências de viagens online
para fazer a cobrança, esses dados também podem ser comprometidos. Evidências
coletadas pelos pesquisadores da Kaspersky permitem afirmar que esse acesso
remoto às recepções de hotéis e os dados que elas contêm são vendidos em fóruns
criminosos.
A telemetria da Kaspersky confirmou
vítimas na Argentina, Bolívia, Brasil, Chile, Costa Rica, França, Itália, México,
Portugal, Espanha, Tailândia e Turquia. No entanto, dados extraídos do Bit.ly,
um serviço conhecido de redução de links usado pelos atacantes para disseminar
links maliciosos, deu indicações aos pesquisadores da Kaspersky que usuários de
muitos outros países pelo menos acessaram o link malicioso. Esse fato sugere
que o número de países com possíveis vítimas pode ser maior.
"Conforme os usuários ficam
mais desconfiados em relação à proteção de seus dados, os cibercriminosos
voltam-se a empresas menores, que muitas vezes não estão muito bem protegidas
contra ciberataques e que processam uma grande quantidade de dados pessoais.
Organizações hoteleiras e outras pequenas empresas que lidam com dados de
clientes precisam ter mais cuidado e utilizar soluções de segurança
profissionais para evitar vazamentos de dados que podem afetar seus clientes e
ainda prejudicar a reputação do hotel", afirma Dmitry Bestuzhev,
chefe da Equipe de Pesquisa e Análise Global da Kaspersky na América Latina.
Para garantir a segurança, os hóspedes
devem:
• Usar um cartão virtual para reservas
feitas em serviços online de viagens, pois normalmente esses cartões expiram
depois de uma cobrança
• Usar uma carteira virtual, como Apple
Pay ou Google Pay, ou um cartão de crédito secundário com limite de crédito ao
pagar uma reserva ou fazer check-out na recepção do hotel
Já proprietários e gerentes de hotéis
também devem seguir alguns procedimentos para proteger os dados de seus
clientes:
• Realizar avaliações de risco na rede
e implementar normas de manipulação de dados de clientes
• Usar uma solução de segurança
confiável com funcionalidades de proteção web e controle de aplicativos, como o
Kaspersky Endpoint Security for Business. A
proteção web ajuda a bloquear o acesso a sites maliciosos e phishing e o
controle de aplicativos (no modo de lista de permissões) garante que nenhum
programa, exceto os incluídos nas listas de permissões, seja executados nos
computadores da recepção.
• Realizar treinamentos em conscientização sobre segurança para
ensinar os funcionários a identificar tentativas de spear-phishing e mostrar
como é importante prestar atenção ao trabalhar com e-mails recebidos.
Para acessar o relatório completo do ‘RevengeHotels:
cibercrime direcionado a recepções de hotéis do mundo inteiro’ está
disponível em Securelist.com.
Kaspersky
Nenhum comentário:
Postar um comentário