Kimlik Avı Kampanyası Kıskacındaki Booking.com

Booking.com kullanıcıları yeni bir kimlik avı kampanyasının hedefi oluyor. Saldırganlar konaklama sektörünü tehlikeye atmak için InfoStealer kötü amaçlı yazılımını kullanıyor.

Perception Point tarafından tespit edilen ve Akamai tarafından rapor edilen yeni bir kimlik avı kampanyası, Booking.com kullanıcılarını hedef alıyor ve tehdit aktörlerinin maaş günü için ne kadar ileri gidebileceğinin en iyi örneğini oluşturuyor. Bu saldırı, tehdit aktörlerinin konukların rezervasyon bilgilerine erişmek ve sonraki kampanyalarda onlara saldırmak için  InfoStealer kötü amaçlı yazılımını ele geçiren otellerden yararlanması nedeniyle konaklama sektörünün bir bütün olarak 2023'te karşı karşıya kaldığı endişe verici tehdit seviyelerinin bir örneğini oluşturuyor .

Yapılan sahtekarlığın adımları ise şu şekilde;

1. İhlal ve Devralma: Kampanya, tehdit aktörlerinin otel sistemlerini ihlal etmesi ve ardından otelin Booking.com'daki resmi hesabının kontrolünü ele geçirmesiyle başlıyor.

2. Misafir Listesi Hack'i: Kötü niyetli aktörler, ellerindeki resmi Booking.com hesabıyla hassas müşteri verilerine erişir: tam adlar, rezervasyon tarihleri, otel ayrıntıları ve platformda rezervasyon yapmak için kullanılan kısmi ödeme yöntemleri. Bu veriler, ortaya çıkan saldırıların temelini oluşturur.

3. Rezervasyon Hilesi: Saldırganlar, toplanan verileri kullanarak kişiselleştirilmiş mesajlar oluşturur. Bu mesajlar, aciliyet duygusu yaratmak için sosyal mühendislik teknikleri kullanılarak hassasiyetle tasarlanmıştır. Mağdurlara, bir doğrulama "testi" olarak kredi kartı bilgilerini tekrar vermeleri gerektiği ve uymamaları halinde rezervasyonlarının 24 saat içinde iptal edilme tehdidinin yaklaştığı bildiriliyor. 

4. Lobi Tuzağına Bağlantı Verme: Saldırganların konuklara Booking.com platformu aracılığıyla ve ayrıca Booking.com'dan e-posta yoluyla gönderdiği mesaj, kurbanları, Booking.com'un arayüzünü yansıtan, titizlikle hazırlanmış bir kimlik avı sayfasına yönlendiren bir bağlantı içerir.  Bu sayfa, mağdurun tam adı, kalış süresi ve otel bilgileri de dahil olmak üzere kişisel ayrıntılarıyla önceden doldurulmuştur. Daha fazla yanıltma amacıyla tasarlanan URL şu modeli izler: 'booking.id(numbers).com' veya 'booking.reserve-visit.com'.

Tehdit aktörleri, hedeflerin rezervasyon yaptırmak için kullandıkları orijinal ödeme yöntemi hakkında kısmi bilgiye sahip olduğundan, mesajda bunun tam olarak belirtilmesi (örneğin Mastercard kartı) istenmektedir. 

Son Tuzak – Mali Ayrıntıların Toplanması: Kimlik avı sayfasına girdikten sonra kurbanlardan kredi kartı veya banka bilgilerini yeniden girmeleri istenir. Kendilerinin bilmediği bu veriler doğrudan saldırganlar tarafından toplanıyor ve potansiyel mali dolandırıcılığın önünü açıyor.

Booking.com Aracılığıyla Kimlik Avı Gezisi

Bu kimlik avı kampanyasının en endişe verici yönlerinden biri dağıtım yöntemidir. Kimlik avı bağlantıları, müşterinin ne kullandığına bağlı olarak, ister site ister uygulama olsun, doğrudan Booking.com platformu aracılığıyla gönderilir. Bu sahte bir e-posta veya şüpheli bir SMS (diğer adıyla Smishing ) durumu değildir ; bu mesajlar kullanıcıların güvendiği platformdan geliyor. Bu kötü niyetli mesajların kaynağı? Daha önce ele geçirilen meşru otel hesapları. Bu, ekstra bir özgünlük katmanı ekleyerek kimlik avı girişimini daha da ikna edici hale getirir.

Ayna Görüntüsü: Süper İkna Edici Kimlik Avı Sayfası

Kurbanlar, bağlantıya tıkladıklarında Booking.com'dan beklenebileceklerin tam bir kopyası olan bir kimlik avı sayfasına yönlendiriliyor. Ancak aldatıcı olan yalnızca tasarım değildir; ayrıntılardır. Sayfa, kurbana özel olarak hazırlanmış belirli bilgilerle önceden enjekte edilmiş olarak geliyor: adı, rezervasyon yaptığı otel ve kalış tarihleri. Bu seviyedeki kişiselleştirme, mesajda iletilen aciliyetle birleştiğinde mükemmel bir etki yaratır. Rezervasyonun anında iptal edilmesi tehdidi, özellikle de planların çoğu kez kesin olarak belirlendiği durumlarda, mağdurların düşüncesizce hareket etmelerine ve kredi kartı bilgilerini ikinci kez düşünmeden vermelerine yol açabilir.

Küresel Etki: Milyonlarca Dolar Kaybolma Potansiyeli 

Perception Point'in araştırması bunun münferit bir olaydan veya küçük ölçekli bir dolandırıcılıktan çok uzak olduğunu gösteriyor. Dünya çapında yüzlerce otel ve tatil köyünün bu ihlallerin kurbanı olduğunu tahmin ediyoruz. 

Dalgalanma etkisi mi? Binlerce hedef, hatta daha fazlası. Kayıpların tam kapsamı açıklanmazken, ön değerlendirmeler tek bir kurbanın cebinden yüzlerce ila binlerce dolar arasında bir miktarda para çıkabileceğini gösteriyor. Mali sonuçları ciddi ancak güvenin ihlali ve kişisel verilerin potansiyel olarak kötüye kullanılması çok daha geniş kapsamlı sonuçlara yol açabilir.