專門針對酒店行業的電郵攻擊

自去年夏季開始,酒店的持有人和員工持續收到惡意電郵,全部都冒充為過去或潛在的客人,有些個案直接發送到酒店的公開郵箱,也有一部份偽裝來自Booking.com平台的緊急通知,以回應平台收到的用戶評論。

「客戶為中心」的攻擊

當瞄準機構時,攻擊者在電郵上需要一個合理的理由,在酒店的個案內,相關的「理由」就相對容易,因為應對來自公開電郵的客戶查詢是相關酒店員工的重要工作,由於關乎聲譽,員工都會努力盡快解決問題或滿足請求,也促使他們點擊電郵中的連結或打開附件,繼而掉入網絡犯罪份子的陷阱。而攻擊者無需刻意建立看似商用的電郵地址,也令辨別工作更加困難,因為通常的查詢或投訴都是來自免費電郵服務,Gmail就是攻擊者最常用的服務。

電郵內容

通常攻擊者採用的主題都圍繞著投訴或查詢某些詳情兩種,投訴時會扮演不滿意的客戶,內容包括不專業的員工、雙倍銀行卡收費、住宿條件差等,而口講無憑,他但可能會把供影片、冒片或銀行帳單等作為証據。在年初攻擊者修改了他們的策略,以冒充Booking.com發送電郵取代直接投訴,內容依舊是某人在平台留下負面評語,酒店員工需要盡快處理,儘管看似是不同的詐騙,但攻擊者的目的和電郵技術標題顯示兩種電郵都來自相同詐騙活動。

至於查詢類的電郵,攻擊者冒充潛在客人並查詢酒店服務和價錢的額外資料,內容有無限種可能,差不多每條訊息和內容都獨一無二,除了交通、餐飲和房價等常見問題,這些假客人可能會詢問兒童遊戲客、遠距工作用的寧靜空間、或具有特殊歷史或文化意義的房間,以下是更多釣魚電郵的主題和內容(都是被攻擊者使用過的真實範例):

  • Subject: Examining Different Payment Gateways for Amusement Park Passes.
    Body: What are the consequences of canceling a reservation within a few weeks of the check-in date?
  • Subject: Seeking clarification on making a reservation.
    Body: Greetings! In case I misplace an item, what’s the process for locating lost possessions during my stay?
  • Subject: Enquiry about booking.
    Body: Hi there! Does the room have a mini-bar, and what items are included?
  • Subject: How to reserve a double room online without any hassle.
    Body: What happens if guests arrive outside of normal check-in hours at your hotel?
  • Subject: Securing exclusive hotel rooms: attention to finer details.
    Body: Good afternoon, I’m interested in staying at your hotel but I have some questions about the payment process. Can you assist me with that?
  • Subject: Room Fresh Flowers and Plants.
    Body: Are there options available to request fresh flowers or plants in the guest rooms?
  • Subject: Laundry Facility Information.
    Body: What information can you provide about the hotel’s laundry facilities, including services offered and associated charges?
  • Subject: Booking Request for Pet-Friendly Family Room.
    Body: Our family and pets are looking forward to our stay. Can you provide a room that’s suitable for pets? Information on pet amenities would be valuable.
  • Subject: Inquiry for Rooms with Sustainable Energy Sources.
    Body: Desire a room powered by sustainable energy sources to support eco-friendly living during my stay.
  • Subject: Request for Assistance with Wine Tasting Tours.
    Body: Can you arrange wine tasting tours at local vineyards or wineries?
  • Subject: Dedicated Workspace in Rooms for Business Guests Inquiry.
    Body: Are dedicated workspaces available in rooms for guests who need to work remotely?

一方面提出的問題是真實酒店客人可能會提出,另一方面可以看到主題與內容可能並不吻合,顯示攻擊者可能是從一些預先編譯的資料庫中隨機抽取主題和內容文字。

與假客戶的多階段通訊

有些個案攻擊者會採取更接近針對性攻擊的方法,在最初的一兩封電郵內沒有惡意連結,以降低受害者的戒心,通過一條或多條簡短訊息開始對話,詢問酒店住題的問題,例如開始時攻擊者聲稱準備為太太準備驚喜,酒店員工在回覆中弄清楚入住日期並詢問員工需要如何配合驚喜,隨後攻擊者便發送連結去下載惡意檔案,假裝是房間佈置的詳細指示,並承諾會回報員工的付出。

最終目的

絕大部份網絡犯罪份子在這種攻擊的目標都是取得酒店員工的憑證,可以用來進行其他詐騙或出售,擁有用戶名稱和密碼的資料庫在暗網上有很高需求,在過去Booking.com的帳號外洩個案中就用來詐騙客戶的付帳資料,所以攻擊者這次很大機會也是相同目標,以下是遊說受害者進入釣魚網站或以惡意程式感染電腦的方法:

惡意程式感染

通常攻擊者會把惡意內容檔案儲存在合法的檔案分享服務,也有少部份以短縮連結作為掩飾,連結可能在電郵內文或在附件內(例如PDF檔案),也有個案是直接以附件形式發送惡意檔案。如果受害者依照連結下載檔案或打開附件,不同的惡意程式便會出現在他們的裝置,最常見是密碼盜竊工具,也有XWorm Backboor和RedLine stealer。

網絡釣魚電郵

有時候釣魚會連到偽裝Booking.com的登入網頁,也可能是看似是輸入機構憑證的地方,如果攻擊者能使用這些商用電郵帳號,將為他們打開很多方便之門,例如騎劫連繫Booking.com的帳號,或以酒店身份與客戶聯絡。

酒店從業員提高警覺

要酒店員工避免掉入陷阱,同時保護機構的網絡安全,我們建議:

  • 定期為員工進行安全意識培訓,使他們具備防範社交工程技術和及早發現犯罪技倆的知識。
  • 在email gateway部署防護措施,儘管員工可能仍會收到騙徒的電郵,但有惡意附件的釣魚和惡意連結不會抵達他們的郵箱。
  • 安裝具備防釣魚技術可靠的保安方案到所有工作用裝置

資料來源:Kaspersky Blog