Truffa con tecniche social engineering colpisce utenti di Booking.com

Una nuova campagna malevola ha preso di mira gli utenti di Booking.com facendo ampio utilizzo di tecniche social engineering.

Questo è quanto emerge da una ricerca di Secureworks che, secondo i dati raccolti, è in corso da almeno un anno. L’operazione, che sembra risultare molto fruttuosa per i cybercriminali, sfrutta l’implementazione dell’infostealer Vidar, noto anche per l’intenso utilizzo anche nel nostro paese.

Attraverso questo malware i cybercriminali ottengono l’accesso alla credenziali Booking.com degli hotel partner della piattaforma. Tali informazioni, poi, vengono utilizzate per inviare e-mail phishing ai clienti del servizio, spingendo gli stessi a fornire dettagli di pagamento con risultati, come è facile intuire, disastrosi.

La ricerca di Secureworks è cominciata in seguito a un primo caso individuato lo scorso mese di ottobre. Nel caso specifico, attraverso messaggio e-mail, è stato chiesto al membro del personale di un hotel aiuto per trovare un documento di identità che riteneva di aver perso. L’e-mail in questione non includeva allegati o link dannosi di alcun tipo.

Senza motivo di insospettirsi, il dipendente ha risposto chiedendo ulteriori informazioni per aiutare il fantomatico cliente. I cybercriminali, dunque, hanno fornito un presunto link verso Google Drive, per fornire foto del passaporto e dettagli del check-in dell’ospite.

Vidar prende di mira strutture e clienti Booking.com: ecco come evitare disastri

Una volta cliccato sul collegamento, è stato scaricato un archivio ZIP, prontamente segnalato da Microsoft Defender come malware, ma che è riuscito comunque ad intrufolarsi sul computer.

Secondo gli esperti, l’infostealer in questione era stato impostato per rubare esclusivamente le password dal dispositivo compromesso. Nel corso dei giorni successivi, clienti dell’hotel hanno ricevuto e-mail in cui venivano richiesti pagamenti e/o informazioni riservate.

I ricercatori ritengono che gli autori delle minacce abbiano rubato le credenziali del portale di gestione delle proprietà admin.booking.com, consentendo loro di inviare messaggi dall’aspetto legittimo tramite l’app ufficiale e l’indirizzo e-mail noreply@booking.com.

La campagna si è dimostrata alquanto efficace e, a tal proposito, Secureworks fornisce una serie di consigli per evitare di cadere vittima di azioni simili. A tal proposito, l’azione più decisa deve essere presa da chi gestisce gli hotel.

In tal senso è indispensabile rendere i dipendenti consapevoli di questa campagna malware e implementare, quando possibile, l’autenticazione a più fattori sugli account Booking.com.

Anche i clienti, dal canto loro, possono prevenire situazioni come quella appena delineata. Risulta dunque necessario fare attenzione alle e-mail o ai messaggi delle app che richiedono dettagli di pagamento, anche se sembrano provenire da un mittente legittimo.

Se qualcosa sembra sospetto o se vengono chiesti nome utente, password o dati della carta di credito, è bene contattare la struttura direttamente attraverso un altro percorso, come per esempio il numero telefonico.