Gecompromitteerde Booking.com accounts ingezet voor wereldwijde phishingaanvallen

[Captain Kirk]

Hotelklanten zijn wereldwijd het doelwit van een phishingcampagne, zo waarschuwt beveiligingsbedrijf Sekoia. Aanvallers maken gebruik van gecompromitteerde Booking.com-accounts van hotels of sturen berichten via WhatsApp. In veel gevallen beschikken ze over persoonlijke gegevens van klanten, zoals identiteitsinformatie of reserveringsdetails. Dit vergroot de geloofwaardigheid van de phishingaanvallen aanzienlijk.

Volgens onderzoekers van Sekoia maakt deze campagne deel uit van een bredere operatie waarbij de malware PureRAT wordt verspreid met als doel het stelen van gegevens. De malware is vermoedelijk via e-mails naar hotelsystemen gestuurd, waarbij medewerkers vermoedelijk onbewust via de zogenaamde ClickFix-methode de malware hebben geïnstalleerd. In de e-mail is de huisstijl van Booking.com zorgvuldig nagebootst om de mails geloofwaardiger te laten lijken.

Met behulp van de malware zijn vervolgens inloggegevens voor platforms als Booking.com en Expedia buitgemaakt. Deze gestolen gegevens zijn vervolgens online doorverkocht of direct ingezet voor het opzetten van phishingaanvallen op hotelklanten. Door toegang tot de hotelaccount kregen de aanvallers inzicht in de klantgegevens, die vervolgens zijn gebruikt bij de phishingaanvallen.

Tijdens deze aanvallen ontvangen klanten een bericht waarin wordt gesteld dat er een probleem is met de betaling of verificatie van hun reservering. De aanvallers dreigen de reservering te annuleren, tenzij de klant zijn gegevens opnieuw bevestigt.

Hotelklanten zijn overigens al lange tijd doelwit van phishingmails die zich voordoen als Booking.com. Zo waarschuwde de Fraudehelpdesk begin dit jaar nog voor een toename in het aantal meldingen van dergelijke fraude. Ook Microsoft waarschuwde in maart nog voor een vergelijkbare phishingcampagne waarbij Booking.com-klanten het doelwit zijn.

 

bron: https://www.security.nl