Piratas informáticos atacan los inicios de sesión de Booking.com en los hoteles. Los ciber atacantes están accediendo a las cuentas de los hoteles asociados de Booking.com con la esperanza de robar los datos de sus visitantes.
Los ciberatacantes están adoptando el camino digital y buscan hacer algunas paradas virtuales en varios hoteles que tienen contratos con Booking.com para vender habitaciones. La idea es realizar phishing a los inicios de sesión de Booking.com en el backend de los hoteles, con el objetivo de hacerse cargo de las cuentas y, en última instancia, recopilar datos sobre los clientes del hotel.
Según un análisis de Perception Point sobre la campaña, los actores de amenazas están innovando significativamente en sus tácticas, al centrarse en prácticas y relaciones específicas de la industria para llevar a cabo ataques de phishing dirigidos y convincentes.
Por ejemplo, muchos de los mensajes de phishing están dirigidos a gerentes de hoteles, afirmando que antiguos huéspedes están escribiendo críticas mordaces sobre la propiedad en línea. Los correos electrónicos alientan a los hoteles a iniciar sesión y responder a las quejas y, útilmente, contienen un enlace “Responder a la queja”.
Una vez engañados para hacer clic, los destinatarios son dirigidos a un sitio web de Booking.com falso pero de apariencia muy convincente, completo con una URL creíble (hxxps://account[.]booking-sign[.]com/sign-in?op_token=vNGgY0o3sJ8LRVeu ). Se pide a los objetivos que introduzcan sus contraseñas en el sitio y los atacantes quedan libres en casa.
En variaciones de la campaña, se pide a los destinatarios que inicien sesión en el portal de gestión de propiedades de Booking.com, en la Extranet, o, de lo contrario, se arriesgan a que se desactive su cuenta; o los mensajes pretenden provenir de futuros huéspedes y solicitan confirmaciones de reserva “a través de la aplicación”.
“Las campañas demuestran un profundo conocimiento de los procesos de la industria hotelera y de las interacciones con los clientes “, explica Peleg Cabra, director senior de marketing de producto de Perception Point. “El uso de tácticas personalizadas y conscientes del contexto para comprometer las cuentas de los hoteles, además del canal confiable de Booking.com para estafar a los huéspedes, es particularmente novedoso”.
También cabe destacar: a diferencia de los recientes ataques de “ballenas blancas” al MGM Grand y al Caesar’s Palace , “la actual campaña de phishing que involucra a Booking.com se ha extendido mucho más y apunta a hoteles de todos los tamaños”, dice Cabra.
“Este enfoque indica un cambio estratégico por parte de los ciberdelincuentes hacia la explotación de redes más pequeñas y potencialmente menos seguras dentro del sector hotelero, que pueden no tener el mismo nivel de recursos de ciberseguridad que las cadenas más grandes”.
No hay reservas sobre los ciberataques posteriores
Una vez que los atacantes tienen acceso al perfil de Booking.com de un hotel, el objetivo más amplio es “ejecutar campañas masivas de phishing contra los huéspedes del hotel”, según el informe de Perception Point. “Al poseer las credenciales de Booking.com de los hoteles , los atacantes tienen acceso a la información de los huéspedes… Si bien es ciertamente útil hackear un hotel, la verdadera carga útil reside en los datos del cliente”.
Cabra señala que los phishers exitosos pueden ganarse un buen premio: los datos en cuestión son bastante sustanciosos.
“La industria de viajes… conserva los nombres legales completos para las reservas, se comunica con los clientes a través de correo electrónico para realizar confirmaciones y almacena los detalles de las tarjetas de crédito durante períodos prolongados, a menudo meses o incluso años (corporativos, industriales y grandes eventos) antes de la estadía programada”, afirmó. dice.
“Muchas cadenas hoteleras ejecutan programas de fidelización. Estos programas requieren no sólo información de contacto, incluido el nombre del miembro, su dirección y número de teléfono, sino también detalles de la tarjeta de crédito y otra información personal como fechas de cumpleaños y aniversarios, manteniendo estos detalles confidenciales durante largos períodos de tiempo. tiempo.”
Este tesoro de datos detallados puede ayudar a que los ataques posteriores a los clientes del hotel en la segunda etapa sean lo más creíbles posible, añade.
“Cuando se combinan con kits de phishing, los ataques son personalizados y convincentes a un nivel sin precedentes”, afirma. “Aprovechan detalles específicos como las reservas de hotel del individuo, los precios y los datos del cliente. Este nivel de personalización, combinado con la confianza intrínseca dentro de la relación hotel-cliente, hace que estos ataques sean extremadamente difíciles de detectar y, por lo tanto, altamente efectivos”.
La ciberdefensa debe evolucionar con la sofisticación de los ataques en el sector hotelero
Cabra señala que el aspecto más interesante y novedoso de este ataque es la sofisticación y la naturaleza de múltiples capas de las campañas de phishing; Demuestran una evolución significativa en lo que respecta a la ingeniería social.
“La evolución de los esfuerzos de phishing, como se evidencia en estas campañas, pone de relieve una tendencia preocupante hacia ataques más sofisticados y altamente dirigidos”, explica. “La incorporación de IA generativa (GenAI) en estos esquemas [de phishing] ayuda a crear mensajes creíbles y ricos en contexto”.
A su vez, esto requiere un avance correspondiente en las estrategias de ciberseguridad y programas de capacitación en concientización sobre la seguridad, comenzando por lo básico.
“Cultive una cultura de escepticismo: no se limite a confiar; verifique”, dice. “Confirme siempre la identidad de cualquier persona que solicite información confidencial o acceso a sistemas internos. Una llamada telefónica rápida o un correo electrónico secundario pueden ser de gran ayuda para establecer la legitimidad”.
Más allá de eso, invertir en soluciones sólidas de seguridad para el correo electrónico y el navegador, y comprobar periódicamente la eficacia de los sistemas de seguridad del hotel, debería estar en la lista de tareas pendientes, afirma.
“Asegúrese de que su solución de seguridad de correo electrónico tenga análisis de sentimiento basado en LLM, anti-evasión y detección dinámica de próxima generación”, según Cabra. “[Y] proteger el navegador empresarial con una capa de seguridad puede detener descargas maliciosas y el acceso a sitios maliciosos a través de cualquier SaaS o aplicación de colaboración”.
También te puede interesar leer: BCE pondrá a prueba resistencia de bancos ante un ciberataque