Почтовые атаки на гостиничный бизнес

С лета прошлого года владельцам и сотрудникам отелей начали приходить вредоносные письма, имитирующие вполне обыденную корреспонденцию от бывших или потенциальных постояльцев. В одних случаях они выглядят как ординарные послания, отправленные на публичные адреса отелей, в других — как настоятельная просьба Booking.com ответить на оставленные без внимания комментарии пользователей, якобы полученные платформой. По факту злоумышленники пытаются либо выманить у сотрудников учетные данные, либо заразить компьютеры отеля зловредами.

Уловка злоумышленников

Как правило, при атаках на организации злоумышленникам приходится изобретать правдоподобный повод для письма. В случае с отелями придумать такой повод не очень сложно: по большому счету отвечать на внезапные запросы клиентов — часть служебных обязанностей работников гостиничного бизнеса, имеющих публично доступные адреса электронной почты. Для отеля главное — репутация, так что сотрудники стараются как можно быстрее решить конфликтную ситуацию или удовлетворить запрос клиента. Поэтому они с готовностью переходят по содержащимся в письмах ссылкам или открывают приложенные файлы, попадаясь таким образом на уловку злоумышленников. Иными словами, данную угрозу можно считать атакой на клиентоориентированность.

Дополнительная сложность выявления угрозы состоит в том, что атакующим не нужно заводить какой-то особый адрес, убедительный для деловой переписки. Сотрудники гостиниц привыкли ежедневно получать обращения или жалобы от гостей, отправленные через бесплатные сервисы электронной почты. Поэтому их используют и злоумышленники (часто это адрес, зарегистрированный в Gmail, бесплатной почтовой службе Google).

Содержание писем

Как правило, переписка идет по двум направлениям — мошенники либо жалуются, либо уточняют детали. В первом случае сотрудники отеля получают письмо, в котором гость высказывает свое недовольство сервисом. Например, жалуется на неэтичное поведение персонала, двойное списание средств с банковской карты, плохие условия проживания и так далее. В доказательство своих слов злоумышленники могут предложить ознакомиться с подтверждающими материалами — видеозаписями, фотографиями, выписками с банковских счетов и так далее.

Пример жалобы с описанием конфликтной ситуации, якобы произошедшей в отеле

В начале этого года злоумышленники модифицировали свою тактику и стали рассылать письма под видом не прямых жалоб от клиентов, а в виде уведомлений от системы интернет-бронирования Booking.com. Но суть та же — на платформе якобы кто-то оставил негативный отзыв, а персонал гостиницы не уделяет ему внимания, это нужно срочно исправить! Может показаться, что это другая мошенническая схема, однако исходя из целей атаки, а также из технических заголовков писем, которые говорят об особенностях движка рассылки, можно сделать вывод, что данные письма отправлены в рамках одной и той же кампании.

Письмо, имитирующее нотификацию от платформы Booking.com

В случае писем с уточнением деталей атакующие представляются заинтересованным потенциальным клиентом и запрашивают дополнительную информацию об услугах отеля и их стоимости. Вариантов подобных запросов огромное количество, а тема и текст каждого сообщения практически всегда уникальные. Помимо рядовых вопросов о трансфере до гостиницы, питании и ценах, псевдогостей может интересовать наличие, например, игровой комнаты для детей; тихого пространства для тех, кто работает удаленно; тематического номера с национально-историческим уклоном и так далее.

Вот еще несколько примеров тем для переписки:

• Тема письма: Изучение различных способов оплаты пропусков в парки развлечений.
  Текст: Каковы последствия отмены бронирования в течение нескольких недель до даты заезда?
• Тема письма: Прошу разъяснений по поводу бронирования.
  Текст: Приветствую! Если я потеряю вещь, как будет происходить поиск потерянных вещей во время моего пребывания?
• Тема письма: Запрос по поводу бронирования.
  Текст: Привет! Есть ли в номере мини-бар и какие предметы входят в него?
• Тема письма: Как без проблем забронировать двухместный номер онлайн.
  Текст: Что произойдет, если гости прибудут в ваш отель в часы, когда стойка регистрации не работает?
• Тема письма: Обеспечение безопасности эксклюзивных гостиничных номеров: внимание к мелким деталям.
  Текст: Добрый день, я хотел бы остановиться в вашем отеле, но у меня есть несколько вопросов по поводу процесса оплаты. Можете ли вы помочь мне с этим?
• Тема письма: Свежие цветы и комнатные растения.
  Текст: Есть ли возможность заказать свежие цветы или растения в номер?
• Тема письма: Информация о прачечной.
  Текст: Какую информацию вы можете предоставить о прачечной отеля, включая предлагаемые услуги и связанные с ними расходы?
• Тема письма: Запрос на бронирование семейного номера, в котором допускается размещение с домашними животными.
  Текст: Наша семья и домашние животные с нетерпением ждут посещения отеля. Можете ли вы предоставить номер, подходящий для домашних животных? Мы бы также оценили информацию об удобствах для домашних животных.
• Тема письма: Запрос на помещения, подключенные к источникам устойчивой энергии.
  Текст: Желаю комнату, питаемую экологически чистыми источниками энергии, чтобы поддерживать экологически чистый образ жизни во время моего пребывания.
• Тема письма: Просьба о помощи в организации туров с дегустацией вин.
  Текст: Можете ли вы организовать туры с дегустацией вин на местные виноградники или винодельни?
• Тема письма: Выделенное рабочее место в номерах для деловых гостей.
  Текст: Имеются ли в номерах специальные рабочие места для гостей, которым необходимо работать удаленно?

Как видите, с одной стороны, это все вопросы, которые действительно могли бы задать реальные клиенты отеля. С другой — тема письма и его текст не всегда логически связаны друг с другом. Как будто в некоторых случаях отправители письма берут их из какой-то заранее составленной базы в случайном порядке.

Многоступенчатая переписка с фальшивыми клиентами

В некоторых случаях злоумышленники берут на вооружение методы, характерные скорее для целевых атак, — вредоносную ссылку они присылают не в первом и даже не во втором письме. Чтобы усыпить бдительность жертвы, они вступают в переписку, отправляя одно, а иногда и несколько коротких «чистых» сообщений, в которых задают вопросы, касающиеся условий размещения в отеле.

Например, в первом сообщении злоумышленник под видом потенциального клиента утверждает, что хочет устроить сюрприз жене. В ответном письме сотрудник отеля уточняет даты проживания и спрашивает, как именно персонал может помочь в организации сюрприза. Только после этого злоумышленник отправляет письмо со ссылкой на скачивание вредоносного файла, в котором якобы находится подробная инструкция по созданию особой атмосферы в номере. Разумеется, с обещаниями щедрого вознаграждения за старания персонала.

Пример атаки с предварительной перепиской

Конечные цели злоумышленников

По большому счету, цель всех этих писем сводится к добыче учетных данных. Впоследствии их могут применять в других мошеннических схемах или просто перепродавать — в даркнете базы таких логинов и паролей пользуются спросом. В конце прошлого года мы писали о том, как взломанные аккаунты отелей на Booking.com применяются для выманивания у клиентов платежных данных. Вполне вероятно, что и в данном случае конечная цель злоумышленников заключается в реализации подобной схемы.

Как мы уже писали выше, злоумышленники либо заманивают жертву на фишинговый сайт, либо пытаются заразить ее компьютер зловредом. Вот как это выглядит.

Заражение зловредом

Преимущественно злоумышленниками используются ссылки на файлы с вредоносным содержимым, хранящиеся на легитимных файлообменниках. Реже встречаются разнообразные способы маскировки ссылки, например короткие URL. Ссылки могут находиться как в теле письма, так и во вложении, например в прикрепленном документе PDF. Кроме того, в ряде случаев файлы с вредоносным содержимым (например, зараженные документы Microsoft Word) отправлялись в виде вложений.

Если жертва переходит по ссылке и скачивает файл или же открывает прикрепленный документ, на ее устройстве могут оказаться разнообразные зловреды, которые, как правило, имеют функцию перехвата паролей. Мы встречали такие угрозы, как бэкдор Xworm и стилер RedLine.

Фишинговые письма

В ряде случаев фишинговые ссылки ведут на страницу, имитирующую форму для входа на сервис Booking.com. В других случаях фишинговая страница выглядит как форма для ввода корпоративных учетных данных. Если злоумышленникам удастся воспользоваться этими данными для доступа к корпоративной почте, то они смогут многое — например, перехватить управление тем же аккаунтом Booking или напрямую писать клиентам от имени отеля.

Фишинговый сайт, имитирующий страницу входа в аккаунт Booking.com

Как защититься от атаки

Для того чтобы персонал вашего отеля не был обманут, а бизнес не пострадал от рук злоумышленников, необходимо:

• Периодически повышать уровень осведомленности сотрудников. Это научит их противостоять методам социальной инженерии и вовремя распознавать уловки злоумышленников. Например, в случае схемы с письмом от Booking.com это можно сделать невооруженным взглядом — достаточно обратить внимание на поле «отправитель». Столь крупный и известный сервис не стал бы рассылать уведомления с адреса бесплатной электронной почты. Да и сайт, имитирующий страницу входа, расположен на совершенно постороннем домене, никак не связанном с настоящей туристической платформой.
• Иметь защиту на уровне почтового шлюза. В этом случае сотрудники, конечно, продолжат получать назойливые письма от мошенников, но вот фишинговые и вредоносные ссылки и вложения до них попросту не дойдут.
• Установить на все используемые для работы устройства надежные защитные решения с антифишинговыми технологиями.
• Читать наш блог и телеграм-канал, чтобы первыми узнавать о самых актуальных почтовых угрозах.