Фишинг по сезону: как и зачем мошенники атакуют владельцев и сотрудников отелей

Поддельные письма с жалобами, запросами, комментариями якобы от бывших и будущих постояльцев могут быть фишинговыми и вредоносными

В начале сезона каникул и отпусков «Лаборатория Касперского» рассказывает о том, каких атак стоит остерегаться сотрудникам и владельцам отелей. Мошенники пытаются украсть учётные данные или заразить компьютеры вредоносным ПО, имитируя наиболее типичные запросы или жалобы от бывших или потенциальных гостей по электронной почте. Украденные учётные данные впоследствии могут применяться в других мошеннических схемах или быть проданы другим злоумышленникам — в даркнете базы таких логинов и паролей пользуются спросом.

Фишинговые письма. Как правило, переписка идёт по двум направлениям — мошенники либо жалуются, либо уточняют детали. Атакующие или высказывают недовольство предоставленным сервисом, или запрашивают дополнительную информацию об услугах отеля и их стоимости. Вариантов запросов огромное количество, а тема и текст каждого сообщения практически всегда уникальные. Помимо рядовых вопросов о трансфере до гостиницы, питании и ценах, псевдогостей может интересовать наличие, например, игровой комнаты для детей; тихого пространства для тех, кто работает удалённо; тематического номера с национально-историческим уклоном. Фишинговые письма могут содержать фотографии или видео. Цель состоит в том, чтобы побудить сотрудников нажимать на ссылки или открывать вложения, содержащие вредоносное ПО. Также подобные рассылки могут приходить в формате уведомлений от популярных систем бронирования с просьбой ответить на оставленные без внимания комментарии пользователей.

Вредоносные письма. Преимущественно злоумышленники используют ссылки на файлы с вредоносным содержимым, хранящиеся на легитимных файлообменниках. Реже встречаются разнообразные способы маскировки ссылки, например короткие URL. Ссылки могут находиться как в теле письма, так и во вложении, например в прикреплённом документе PDF. Если жертва переходит по ссылке и скачивает файл или же открывает прикреплённый документ, на её устройстве могут оказаться разнообразные зловреды, которые, как правило, имеют функцию перехвата паролей. Эксперты фиксировали такие угрозы, как бэкдор Xworm и стилер RedLine.

Многоэтапный подход. В некоторых случаях злоумышленники используют методы, характерные скорее для целевых атак, — вредоносную ссылку они присылают не в первом и даже не во втором письме. Чтобы усыпить бдительность жертвы, они вступают в переписку, отправляя одно, а иногда и несколько коротких «чистых» сообщений, в которых задают вопросы, касающиеся условий размещения в отеле, а уже затем письмо со ссылкой на скачивание вредоносного файла.

«Дополнительная сложность выявления такой угрозы состоит в том, что атакующим не нужно заводить какой-то особый адрес, убедительный для деловой переписки. Сотрудники гостиниц привыкли ежедневно получать обращения или жалобы от гостей, отправленные через бесплатные сервисы электронной почты, и оперативно реагировать на них. Это увеличивает вероятность попасться в подобную ловушку», — комментирует Анна Лазаричева, спам-аналитик «Лаборатории Касперского».

Чтобы защиты данных от подобных атак, эксперты «Лаборатории Касперского» рекомендуют бизнесу:

• обучать сотрудников основам кибербезопасности. К примеру, проводить симуляцию фишинговых атак, чтобы они умели различать поддельные электронные письма;
• использовать решения для защиты почтовых серверов с функциями защиты от фишинга, например Kaspersky Security для почтовых серверов;
• устанавливать решения, обеспечивающие комплексную защиту от файловых, почтовых угроз, сетевых, веб-угроз, к примеру Kaspersky Security для бизнеса или Kaspersky Endpoint Security Cloud.