サイバー犯罪者は、ホテル業界の繁忙期であるホリデーシーズンに、ホテルスタッフの本来の親切さを狙っています。
ソフォスの研究者らによると、ホテルを狙った最新のマルウェア攻撃では、スタッフの感情を煽る電子メールを送り、同時に時間的なプレッシャーを与えて、パスワードを盗むWindowsマルウェアをダウンロードさせ、実行させるという。
送信されるメールには主に2つの種類があります。最近の宿泊に関する深刻な問題について苦情を申し立てるものと、将来の予約に役立つ情報を求めるものです。どちらの場合も、ホテルの経営陣からの迅速な対応が求められます。
苦情メールの内容は、例えば、従業員による暴力や偏見に基づく行為、あるいは所持品の盗難など多岐にわたります。このような場合、攻撃者は多くの場合、最初の苦情を要約した、強い言葉遣いのメールを作成し、テキストのみで構成します。
スタッフがさらに情報を要求すると、攻撃者はスタッフにメッセージを送信し、主張を裏付ける証拠が含まれていると思われるリンクを開くように指示します。
これらのリンクは通常、Googleドライブなどの正規のクラウドストレージサービスへのリンクで、パスワードで保護されたアーカイブが含まれています。そのパスワードはメールに記載されており、ダウンロードするとデジタル署名された実行ファイルがダウンロードされます。このプログラムには認証情報を窃取するマルウェアが含まれており、従業員が文書を閲覧するつもりでファイルを開くと、マルウェアが起動します。
実行ファイルは通常600MBほどと大きく、ウイルス対策ソフトのスキャンを欺いたり、検知を回避したりする目的で使用されています。また、アーカイブにはパスワード保護が施されているため、解凍されるまで内容はスキャン対象から除外されます。実際の悪意あるコードは実行ファイルの末尾に存在し、Redline StealerまたはVidar StealerというWindowsマルウェアの亜種であると思われます。
攻撃者がホテルに送ったメールの例。医療記録ではなく、悪意のあるアーカイブへのリンクが含まれていた。画像提供:Sophos
攻撃者は、障害のある子供を連れて旅行する宿泊客を装うことも知られています。以前の事例と同様に、攻撃者はホテルのスタッフにリンクにアクセスするよう指示します。このリンクには、ホテルのスタッフが偽の子供の医療ニーズを把握するために必要な情報が含まれているとされています。
一部のメールはネイティブの英語のように書かれており、ペースの速い仕事に従事するスタッフがメッセージの悪意ある性質に気づく可能性は低い。一方、フィッシング攻撃に見られるような文法や語彙の誤りが見られるものもあった。
ホテルのスタッフは、どのような種類の詐欺が横行しているかを認識し、電子メールが攻撃の試みである可能性がある兆候に注意するよう勧告されている。
他の方法としては、たとえばホテルの部屋に置き忘れた紛失物を取り戻すためにホテルの助けが必要であると主張する感情的なシナリオを作成することが含まれます。これには感傷的な価値がある場合もあります。
ホテルに送られたメールには、紛失物の画像ではなく、悪意のあるアーカイブへのリンクが含まれていた。画像提供:Sophos
これは、帰国するために必要なパスポート、亡くなった親族の最後の写真が入ったカメラ、またはそれに類するものなど、何でもかまいません。
このような場合、攻撃者はスタッフの悲しみを利用して彼らの無力化を図ろうとするかもしれない。ソフォスによれば、これは成功したホスピタリティ従業員が自ら選んだ特質だという。
ホテルのスタッフが予約の詳細(名前と予約番号)を尋ねると、襲撃者の態度は悲しみから軽い攻撃に変わり、「家族の悲しみについてはすでにお話ししました。母の最後の思い出が入ったとても大切なものを失いました。カメラの写真をお送りいただければ、助けていただけますか」といったメッセージを返します。
この場合も、メッセージにはマルウェアにつながるパスワードで保護されたダウンロード リンクが含まれます。
調査で説明されている手法はすべて、ホテル管理の認証情報を盗むためのもので、最近Booking.comの顧客に対する一連の攻撃で使用されており、少なくとも2023年3月から継続しています。
- フィリピン、韓国、インターポールがサイバー詐欺容疑者3,500人を拘束、3億ドルを押収
- サイバー攻撃でXfinityの顧客数百万の情報とハッシュ化されたパスワードが盗まれた恐れ
- FBIがBlackCatランサムウェアの復号ツールを開発し、ギャングのウェブサイトを押収
- Qakbotのバックボット:FBI主導の削除により、わずか3か月で犯罪を阻止
目的は、管理者管理ポータルの資格情報を盗み、Booking.com パートナー ポータルにログインすることです。
そこから、攻撃者はBooking.com内から直接顧客にメッセージを送信し、コミュニケーションに正当性を与えています。例えば、旅行会社のアプリ内での既存のチャットに続く会話も行われています。
顧客の予約を確保するためにクレジットカード情報の提供を求められると同時に、情報が提供されない場合は24時間以内にキャンセルされると告げられ、顧客に緊迫感を与えます。そして、予想通り、盗まれた支払い情報から金銭が搾取されるのです。
この活動が最初に確認されたとき、顧客はBooking.comのシステムが侵害されたと考えたが、調査員は事件の真の性質を明らかにすることに成功した。
事件を調査したセキュアワークスは、地下フォーラムでBooking.comの認証情報に対する需要が高いことも発見した。一部のユーザーは、有効なインフォスティーラーのログに最高5,000ドルを提示し、常連サプライヤーにもインセンティブを提供していた。
Facebook Ads Manager、Gpay、Discord など、さまざまなプラットフォームへの有効な認証情報を確認するためにインフォスティーラーのログをチェックするサービスを提供するある犯罪者が、新しい Booking.com 管理ポータル サービスをサービスに追加しました。これもまた、需要の増加を示唆しています。
Booking.comの広報担当者はThe Registerに次のように語った。
「この情報漏洩はBooking.comでは発生していないが、影響を受けた人々にとっての深刻さを理解している。そのため、当社のチームはパートナーがシステムの安全をできるだけ早く確保できるよう支援し、被害を受けた可能性のある顧客を、失われた資金の回収を含め、適宜支援するために熱心に取り組んでいる」と同社はBBCに語った。
BBCの続報では、Booking.comの詐欺によって顧客が数百ポンドの損失を被った様子が報じられました。同社は新たな安全機能を導入しているものの、「インターネット上のあらゆる詐欺を根絶する特効薬はない」と述べています。®
