Microsoft ujawnia: cyberprzestępcy podszywają się pod Booking

Ataki wykorzystujące wiadomości e-mail są jedną z podstawowych metod działania cyberprzestępców. Przykładowo, na łamach CyberDefence24 opisywaliśmy, jak w styczniu br. do Polaków trafiły wiadomości podszywające się pod Centralne Biuro Śledcze Policji. W ich treści żądano kontaktu z CBŚP w związku z rzekomymi oskarżeniami o przestępstwa seksualne. Brak odzewu miał się skończyć m.in. wpisaniem odbiorcy do rejestru pedofilów i transmitowaniem sprawy sądowej przez telewizję.

Równie niebezpieczne są maile rozpowszechniające szkodliwe oprogramowanie. W zeszłym roku informowaliśmy o kilku takich kampaniach. Wyróżniały się m.in. operacje przeciwko ukraińskim wojskowym, czy klientom CrowdStrike, którzy ucierpieli w wyniku globalnej awarii spowodowanej błędem aktualizacji programu Falcon.

Mail w sprawie opinii o noclegu? To może być podstęp

Eksperci cyberbezpieczeństwa z Microsoft Threat Intelligence poinformowali o trwającej od grudnia zeszłego roku kampanii phishingowej, która wymierzona jest w firmy i osoby prywatne oferujące noclegi w serwisie Booking.com w Azji, Europie, Ameryce Północnej i Oceanii. Za kampanię ma odpowiadać grupa Storm-1865, która prowadzi działania tego typu od dwóch lat.

Na czym polega ta konkretna operacja? Do potencjalnych ofiar trafiają wiadomości rzekomo związane z platformą noclegową – mogą dotyczyć m.in. rzekomej negatywnej opinii od klienta, pytań związanych z pobytem, czy weryfikacji konta. W ich treści znajduje się link prowadzący do przygotowanej przez atakujących strony - alternatywnie, może być ulokowany w pliku PDF dołączonym do maila.

Captcha nakłaniająca do uruchamiania programów

Wejście na podstawioną stronę, rzekomo będącą częścią Booking.com, rozpoczyna główną część ataku. Na rozmazanym tle mającym przypominać portal dotyczący noclegów umieszczono okienko z weryfikacją Captcha. Jest ona jednak fałszywa. Kliknięcie kwadratu, zgodnie ze znaną od lat procedurą, powoduje wyskoczenie informacji o kolejnych krokach „weryfikacji”. 

Microsoft Threat Intelligence wskazuje, że jest to metoda socjotechniczna ClickFix. Ofiara jest proszona o otwarcie okna Uruchom w Windowsie za pośrednictwem skrótu klawiszowego, wklejenie tamże tekstu za pomocą Ctrl+V, i naciśnięcie Enter. Wykorzystuje się tym samym niewiedzę ofiary: strona kopiuje bowiem do schowka komendę, która po uruchomieniu ściąga na komputer szereg złośliwych programów – od stealerów po RAT. Ich łupem padają dane logowania czy bankowości, które można znaleźć na urządzeniu; potem zaś następuje ich wysyłka do sprawców.

Jak nie dać się nabrać na phishing rozsyłany w ramach tejże kampanii? Eksperci zalecają sprawdzanie nagłówków wiadomości w celu zweryfikowania, czy rzeczywiście nadawca zgadza się z treścią maila i czy nie jest to próba ze strony cyberprzestępców. Zalecany jest również bezpośredni kontakt z dostawcą usługi za pomocą oficjalnego formularza kontaktowego, a także sprawdzenie dokąd prowadzi link czy przeszukanie wiadomości pod kątem literówek.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].