חוקרי אבטחה של מיקרוסופט זיהו קמפיין פישינג חדש שמתחזה לאתר התיירות הפופולרי Booking.com. הקמפיין משמש להפצת תוכנות זדוניות שגונבות אישורי גישה למטרת ביצוע הונאות פננסיות וגנבות. במיקרוסופט מציינים כי הסכנה חמורה במיוחד לעסקים בתחום האירוח שעובדים עם הפלטפורמה.
לפי החוקרים, ביניהם גם חוקרים מהמרכז בישראל, קמפיין הפישינג החל בדצמבר 2024, ערב חג המולד וחנוכה, ונכון לפברואר האחרון עדיין נמשך. קמפיין פישינג (phishing, או "דיוג" בעברית) הוא קמפיין שבו גורמים זדוניים יוצרים אתרי אינטרט ו/או שולחים הודעות מייל או סמס שמתחזות לגורם אחר ולגיטימי בניסיון להטעות את המשתמשים. הקורבנות סוברים שהם מוסרים פרטים אישיים לאתר לגיטימי ומאובטח - במקרה זה Booking.com - אך למעשה מוסרים אותם לגורמים זדוניים.
איך פועלת המתקפה?
התוקפים שולחים אימיילים מזויפים שנראים כאילו הגיעו מ-Booking.com. תוכן האימיילים משתנה וכולל בקשות מאורחים, בקשות לאימות חשבון או התייחסות לביקורות שליליות. האימיילים מכילים קישורים או קבצי PDF שמובילים לעמוד מזויף. העמוד שאליו מגיע המשתמש מציג מבחן CAPTCHA מזויף על רקע שנראה כמו אתר Booking.com האמיתי, מה שנותן למשתמש תחושת ביטחון כוזבת. אך זה רק החלק הראשון במתקפה.
מה מתוחכם במתקפה הזו?
התוקפים משתמשים בטכניקה של הנדסה חברתית המכונה ClickFix כדי להפיץ נוזקות שיאפשרו להם לגנוב אישורי גישה למערכות. מדובר בשיטה שבה התוקפים מציגים לקורבן הודעות שגיאה מזויופות או הנחיות מניפולטיביות שקריות, ומדרבנים אותם להפעלת פקודות שבסופו של דבר מתקינות נוזקות במערכת שלהם.
במסגרת המתקפה הנוכחית, כשהגולש מגיע לעמוד עם מבחן ה-CAPTCHA הוא מתבקש להשתמש בקיצור מקלדת לפתיחת חלון "הפעלה" במערכת ווינדוז. שם הוא מתבקש להדביק ולהריץ פקודה שהאתר הזדוני הדביק אוטומטית ללוח ההעתקה (ה-Clipboard) - מה שללא ידיעתו גורם להורדת הנוזקה למכשיר שלו.
מחקר שביצעה חברת הסייבר Guardio בדצמבר האחרון הצביע על דרכים נוספות שבהן גורמים זדוניים משתמשים בשיטת ה-ClickFix המבוססת על מנגנוני CAPTCH. בין היתר זוהו מקרים שבהם משתמשים התוקפים בשיטה לא רק במשלוח הודעות אימייל, אלא גם בפרסומות שמובילות את הקורבנות להוריד קבצים מסוכנים. מתקפות שחקרה החברה הראו כי תוקפים מנצלים את אמון המשתמשים באתרי תיירות מוכרים: הם פרצו לחשבונות של בתי מלון המשתמשים באתרים באמצעות שליחת הודעות שהתחזו ללקוחות שביקשו להתעדכן בפרטים - ולאחר הפריצה השתמשו בגישה לחשבונות המלונות בפלטפורמות התיירות כדי להונות לקוחות ולגרום להם לשלם כספים לאתרים מזויפים.
עד כמה המתקפה מסוכנת?
מיקרוסופט מסווגת את הקמפיין הזה כחלק מקבוצת Storm-1865, שמתמחה בגנבת אמצעי תשלום וביצוע הונאות פיננסיות. המתקפה מסוכנת במיוחד כי היא דורשת מעורבות אקטיבית של המשתמש. זה מאפשר לה לעקוף מנגנוני אבטחה אוטומטיים ולהוריד תוכנות זדוניות שגונבות אישורי גישה ומידע פיננסי.
איך אפשר להתגונן?
במיקרוסופט ממליצים לבדוק תמיד את כתובת האימייל של השולח ושימו לב אם היא מסווגת כ"פעם ראשונה", "נדירה" או "חיצונית". היזהרו מהודעות "דחופות" שדורשות פעולה מיידית ויוצרות תחושת בהילות. עברו עם הסמן על הקישורים לפני לחיצה כדי לראות את הכתובת האמיתית - ואם יש ספק, פנו ישירות לגורם שממנו קיבלתם לכאורה את האימייל או ההודעה דרך הערוצים הרשמיים. חפשו גם שגיאות כתיב באימייל, שהן סימן אזהרה נפוץ.
מה אומרים בבוקינג.קום?
מ-booking.com נמסר: "הונאות מקוונות הן למרבה הצער אתגר שתעשיות רבות מתמודדות איתו, אולם הודות לאמצעי האבטחה המשמעותיים והמתקדמים שאנו נוקטים והמאמצים המתמשכים שלנו לשיפורם, אנו מסוגלים לזהות ולחסום את הרוב המכריע של פעילות ההונאה. אנו מחויבים באופן מלא לסייע באופן יזום לשותפי האירוח שלנו לשמור על העסקים שלהם מוגנים באמצעות מגוון שיטות".