Специалисты «Лаборатории Касперского» предупредили, что с лета текущего года активно распространяются фишинговые рассылки, нацеленные на российские отели, гостевые дома, санатории и другие объекты размещения. Цель мошенников — кража доступа к бизнес-аккаунтам организаций на популярных сервисах онлайн-бронирования.
Отмечается, что за августе-сентябрь 2024 года решения «компании зафиксировали около 1000 таких вредоносных сообщений.
Атака начинается с того, что фишеры пишут на корпоративную почту отеля под видом потенциального гостя, а затем присылают сообщение с другого почтового адреса, уже выдавая себя за сервис бронирования. Хотя контент в письмах от «постояльцев» и «сервиса бронирования» не связан друг с другом, эксперты считают, что это этапы одной и той же атаки.
Так, сначала атакующие начинают переписку с гостиницей под видом потенциальных постояльцев. Мошенники утверждают, что увидели отель на популярном сервисе онлайн-бронирования, а затем они ссылаются на путешествие с семьей и просят сообщить ближайшие даты, когда есть свободные номера. В других случаях атакующие уточняют, соответствуют ли фотографии в сервисе бронирования действительности и просят предоставить номер телефона для связи. При этом в письмах нет каких-либо фишинговых ссылок или вредоносных вложений.
После этого на email-адрес организации приходит письмо с другого почтового адреса — якобы от сервиса онлайн-бронирования, который упоминали фальшивые постояльцы на первом этапе атаки. В этом письме сообщается, что недавно отелю был направлен требующий особого внимания запрос, но по легенде злоумышленников, отель на него не ответил.
Атакующие запугивают жертв, заявляя, что из-за этого инцидента отель будет заблокирован в сервисе и удален с платформы. Чтобы этого не произошло, предлагается нажать на кнопку в теле письма и перейти в аккаунт объекта размещения на сервисе онлайн-бронирования.
Как нетрудно догадаться, на самом деле за кнопкой скрывается ссылка на фишинговый ресурс. Если работник отеля перейдет по этой ссылке и введет учетные данные, они попадут в руки мошенников.
«Вероятно, атакующие пытаются получить доступ к аккаунтам отелей в сервисах онлайн-бронирования, чтобы в дальнейшем использовать полученные данные для мошеннических рассылок, выманивания платежных данных и денег пользователей. Не исключаем, что злоумышленники могут пытаться шантажировать отели. Ранее похожую схему мы наблюдали в атаках на зарубежные гостиницы, теперь с ней столкнулись сотрудники индустрии гостеприимства в России», — комментирует Андрей Ковтун, руководитель группы защиты от почтовых угроз в «Лаборатории Касперского».
Также исследователи отмечают, что в последнее время среди преступников в целом наметился тренд на двухступенчатые почтовые рассылки, подобные описанным выше. К примеру, первым письмом злоумышленники могут предлагать установить деловое партнерство, а уже после (под видом списка требуемых товаров) прислать вредоносный файл или фишинговую ссылку.
