伦敦,12月3日:网络安全研究人员警告人们注意一种新的骗局,该骗局以Booking.com的客户为目标,在暗网上发布广告,要求帮助寻找受害者。黑客正在攻击平台上列出的住宿,以冒充工作人员。网络安全公司Secureworks对这起骗局进行了调查,该骗局涉及部署Vidar信息伪造器来窃取一家酒店的Booking.com凭据。
根据网络安全公司Secureworks的说法,进入Booking.com的管理门户网站,攻击者就可以看到即将到来的预订,并直接向客人发送消息。Booking.com还没有被黑客入侵,但黑客已经想出了办法进入使用该服务的个别酒店的管理门户。
黑客为每条有效日志提供30至2000美元的奖励,并为常规供应商提供额外奖励。据报道,黑客们似乎在他们的攻击中赚了很多钱,以至于他们现在愿意支付数千美元给那些分享酒店门户访问权限的罪犯。
据英国广播公司报道,Booking.com的一位发言人表示,该公司意识到,一些住宿合作伙伴正受到黑客的攻击,黑客“使用了一系列已知的网络欺诈策略”。Secureworks事件响应人员注意到,威胁行为者通过给酒店的一名运营人员发邮件发起了联系。
“寄件人声称自己是一位丢失了身份证件的前客人,他们要求收件人帮助找到它。这封邮件没有附件或恶意链接,很可能是为了获得收件人的信任。”
在没有理由怀疑的情况下,该员工回复了邮件,并要求提供更多信息以协助发件人。后来,这名威胁行为者又发了一封关于丢失身份证的邮件。寄件人确认该文件是一本护照,并表示他们坚信他们把它留在了酒店。
当收件人点击电子邮件中的链接时,一个ZIP归档文件被下载到计算机桌面上。" Microsoft Defender在此存档中识别出一个文件为Vidar伪造文件。微软防御者在恶意软件最终执行之前检测到多次失败的执行尝试,”研究人员告知。
Secureworks的研究人员分析了该文件的内容,并确认它是Vidar infostealer。这个Vidar示例被配置为只窃取密码。“这一活动最初似乎表明Booking.com的系统遭到了攻击。然而,Secureworks事件响应人员的观察表明,威胁行为者可能窃取了admin.booking的凭据。Com物业管理门户网站直接从物业,并使用访问目标物业的客户,”该团队说。
