A informação de cartões de crédito de hóspedes armazenados em sistemas de reserva dos hotéis correm o risco de serem roubados e vendidos a criminosos de todo o mundo
comunicado de imprensa
RevengeHotels é uma campanha na qual participam vários grupos com a intenção de infetar empresas ligadas à hotelaria mediante a utilização de Trojans de Acesso Remoto (RATs), que está ativa desde 2015 e que aumentou significativamente a sua presença este ano.
Pelo menos dois grupos, RevengeHotels e ProCC, participaram na campanha, sendo provável que estejam envolvidos outros grupos de hackers.
Portugal é o 3º país da lista com mais vítimas que acederam ao link malicioso
O principal vetor de ataque nesta campanha são e-mails com ficheiros maliciosos anexados, nos formatos de Word, Excel ou PDF.
Alguns deles exploram a vulnerabilidade CVE-2017-0199 através de scripts VBS e PowerShell, instalando posteriormente versões de vários RATs, bem como malware personalizado, como é exemplo o ProCC, nos dispositivos das vítimas.
Desta forma, conseguem executar comandos e configurar o acesso à distância dos sistemas afetados.
Cada e-mail de spear-phishing utilizado foi programado com elevada atenção ao detalhe, sendo que na maioria dos casos o remetente se fez passar por organizações legítimas que pediam para efetuar reservas para grupos numerosos de turistas.
Há que ter em consideração que mesmo os utilizadores mais experientes podem ser vítimas destes e-mails, abrindo e descarregando os ficheiros anexados, precisamente devido ao elevado nível de pormenorização dos mesmos (por exemplo, cópias de documentos legais ou informação sobre os motivos das reservas), o que contribui para tornar a mensagem mais convincente.
Na verdade, o único detalhe que podia servir para comprovar que o e-mail era fraudulento correspondia a uma pequena alteração ortográfica no nome do domínio da organização do suposto remetente.
Uma vez infetado um dispositivo, os hackers conseguiam aceder ao mesmo de forma remota e, inclusivamente, segundo alertam os investigadores da Kaspersky, vender o acesso aos dados armazenados nos sistemas das receções dos hotéis através de uma subscrição.
O malware recolheu informações da área de transferência das receções, da fila de impressão ou de capturas de ecrã
Os dados também puderam ser comprometidos porque os colaboradores dos hotéis copiavam muitas vezes a informação dos cartões de crédito dos seus clientes desde as bases de dados das agências de viagens online, para poderem cobrar os pagamentos.
E-mail de phishing enviado a um hotel, em que uma aparente empresa de advogados solicita uma reserva
Os dados de telemetria da Kaspersky confirmam que foram alvo destes ataques hotéis em Portugal, Espanha, Argentina, Bolívia, Brasil, Chile, Costa Rica, França, Itália, México, Tailândia e Turquia.
Por outro lado, e segundo revelam os dados recolhidos do Bit.ly (serviço para encurtar o URL de websites que os hackers utilizaram para partilhar links maliciosos), conclui-se que utilizadores de outros países poderão ter acedido à ligação de malware, um fator que poderá indicar que o número de potenciais vítimas é maior. Em Portugal, registaram-se 59 vítimas através do Bit.ly.
“À medida que cresce a precaução dos utilizadores no que respeita à privacidade dos seus dados, os hackers recorrem cada vez mais a pequenas empresas, que à partida não contam com um alto nível de proteção contra ciberataques, mas possuem, ao mesmo tempo, um elevado número de dados pessoais.
Neste sentido, as empresas hoteleiras devem acautelar-se, melhorando as suas soluções de segurança profissionais, de forma a evitar roubos de dados, que podem não só afetar os seus hóspedes, como manchar a reputação dos hotéis”, comentou Dmitry Bestuzhev, responsável da equipa global de análise e investigação da Kaspersky América Latina.
Para que os viajantes se mantenham seguros, a Kaspersky recomenda:
- Utilizar um cartão de pagamento virtual para fazer reservas através de agências de viagens online, tendo em conta que estes cartões normalmente perdem a validade após um único pagamento;
- Recorrer a um porta-moedas eletrónico, como Apple Pay ou Google Pay, ou a um cartão de crédito secundário com um saldo limitado na hora de realizar uma reserva ou fazer o check-out na receção do hotel.
O sector hoteleiro também deve adoptar uma série de medidas para proteger os dados dos seus clientes, nomeadamente:
- Realizar uma análise de risco da sua rede e implementar um sistema de regras no que respeita à gestão dos dados dos seus clientes;
- Utilizar uma solução de segurança fiável com proteção web e funcionalidades de controlo de aplicações, como é exemplo o Kaspersky Endpoint Security for Business. A proteção web ajuda a bloquear o acesso a páginas maliciosas ou de phishing e o controlo das aplicações permite assegurar que nenhuma aplicação que não esteja na “lista branca” possa executar-se nos dispositivos de reservas dos hotéis.
- Disponibilizar formação sobre conhecimentos em segurança aos colaboradores para que estes saibam detetar tentativas de spear-phishing e aumentar os cuidados quando trabalham com o e-mail.
O relatório completo, RevengeHotels: cybercrime targeting hotel desks worldwide, está disponível na Securelist.
Add comment