Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Фишинг-кампания против Booking.com: цепочки заражения и обход защиты

3 мин
Продолжающаяся кампания по фишинг-атакам, нацеленная на Booking.com, демонстрирует сложный, многоступенчатый подход: злоумышленники в первую очередь атакуют партнёров отелей и служебные аккаунты, чтобы затем получить доступ к данным клиентов и информации о бронированиях. Расследование показывает использование адаптивных инструментов и методов обхода защиты, что затрудняет обнаружение операцией традиционными средствами безопасности. Злоумышленники применяют ряд приёмов, чтобы повысить правдоподобие и снизить вероятность детекции: Ранее для первоначального доступа в некоторых инцидентах использовался ClickFix, однако текущая методология смещена в сторону регистрации новых доменов и создания недавно заведённых почтовых адресов в Gmail для развертывания phishing kit. Это подчёркивает эволюцию тактик злоумышленников в направлении избегания традиционных мер безопасности и использования более гибких, трудноотслеживаемых инструментов. Для выявления и борьбы с этой кампанией используются следую
Оглавление

Продолжающаяся кампания по фишинг-атакам, нацеленная на Booking.com, демонстрирует сложный, многоступенчатый подход: злоумышленники в первую очередь атакуют партнёров отелей и служебные аккаунты, чтобы затем получить доступ к данным клиентов и информации о бронированиях. Расследование показывает использование адаптивных инструментов и методов обхода защиты, что затрудняет обнаружение операцией традиционными средствами безопасности.

Как устроена атака

  • Первая цепочка: массовая фишинг-рассылка по электронной почте, адресованная гостиничным сетям и партнёрам.
  • Второй этап: развёртывание специализированного phishing kit, имитирующего партнёрский портал входа в систему Booking.com, часто с использованием фреймворков вроде Ajax.
  • Дактилоскопия пользователей на уровне корневого домена: анализ источников трафика и фильтрация подключений из известных IP-подсетей VPN для исключения подозрительных сессий.
  • Проверки окружения: использование WebGL, проверок Navigator и проверок iFrame, типичных для продвинутых фишинг-операций.
  • Имперсонация и доменные клоны: регистрация доменов, визуально сходных с легитимными сайтами гостиничной и риелторской сферы, для повышения правдоподобия приманок.
  • После компрометации партнёров — эксфильтрация данных клиентов: вход в платформу Booking.com и кража конфиденциальной информации о бронированиях (имена клиентов, детали бронирований и т.д.).

Методы повышения доверия и уклонения от обнаружения

Злоумышленники применяют ряд приёмов, чтобы повысить правдоподобие и снизить вероятность детекции:

  • Использование бизнес-аккаунтов WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta) в так называемой «призрачной паре» с визуальным статусом
    «подтверждено»— это повышает доверие получателей фишинг-приманок.
  • Фингерпринтинг и фильтрация по источникам трафика, включая исключение известных VPN-подсетей.
  • Технические проверки окружения (WebGL, Navigator, iFrame), которые делают phishing kit более похожим на решения типа Evilginx, указывая на тактическое сходство с этими угрозами.

Эволюция тактик злоумышленников

Ранее для первоначального доступа в некоторых инцидентах использовался ClickFix, однако текущая методология смещена в сторону регистрации новых доменов и создания недавно заведённых почтовых адресов в Gmail для развертывания phishing kit. Это подчёркивает эволюцию тактик злоумышленников в направлении избегания традиционных мер безопасности и использования более гибких, трудноотслеживаемых инструментов.

Обнаружение и противодействие

Для выявления и борьбы с этой кампанией используются следующие подходы:

  • Правила YARA, специфичные для обнаруженных phishing kit и связанных с ними URL-адресов.
  • Мониторинг и корреляция данных с помощью различных фреймворков киберразведки.

Последствия для гостиничного сектора

Компрометация аккаунтов партнёров отелей ведёт к прямым рискам:

  • Кража персональных данных клиентов и подробностей бронирований.
  • Возможное мошенничество с оплатой и перенаправлением бронирований.
  • Подрыв доверия к партнёрским каналам и необходимость дополнительных затрат на реагирование и восстановление.

Ключевые выводы

  • Кампания отличается многоступенчатой архитектурой и продвинутыми методами уклонения от детекции.
  • Атаки нацелены не только на прямую имперсонацию Booking.com, но и на инфраструктуру гостиничного бизнеса и недвижимости через похожие домены.
  • Переход от использования ClickFix к регистрации новых Gmail-аккаунтов и доменов указывает на адаптацию тактик и повышенную изощрённость злоумышленников.

Организациям гостиничной индустрии и партнёрам Booking.com следует усилить контроль электронной почты, внедрить многофакторную аутентификацию, мониторинг подозрительной активности и применять сигнатуры/правила (YARA) и инструменты киберразведки для раннего выявления подобных кампаний.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Фишинг-кампания против Booking.com: цепочки заражения и обход защиты".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.