卡巴斯基披露黑客发动网络钓鱼邮件攻击,专挑饭店PoS(Point of Sales)系统及知名订房网站植入木马程序,以窃取消费者信用卡号码,已有欧洲及南美洲等20家饭店受害。
卡巴斯基GReAT研究小组在2015年首次发现的木马程序RevengeHotels,在2019年有活动升高趋势。RevengeHotels主要以饭店、青年旅馆、民宿和观光业为目标,通过电子邮件传播假造Word、Excel或PDF文件,像是报价单。一经员工打开,附件中的恶意程序即开采微软Office一个旧有CVE-2017-0199漏洞,利用VBS和PowerShell scripts加载PoS系统,并安装RevengeRAT、NjRAT、NanoCoreRAT、888 RAT或ProCC等恶意程序。这波攻击目的在从受害者的PoS系统,窃取住客留下或来自Booking等热门订房网站的信息及信用卡数据。
研究人员分析后,认为这波攻击来自三个黑客组织。其中二个分别被命名为RevengeHotels及ProCC,他们向来锁定旅行观光业,冒充政府单位或民营公司佯称要大量订房来钓取受害者、并使用动态DNS服务导向其他托管企业或无辜服务器传播假文件。除了植入远程访问木马(RAT),他们也会出售受害系统信息,让其他犯罪组织可以轻松访问这些计算机。
研究人员还识别出第三个黑客组织,但不确定是否只对观光业下手,以及是否进行其他型式的攻击。
最新的一波攻击中已有20家饭店遭到毒手,其中8家位于巴西,其他则散见于欧洲、南美等国,包括阿根廷、玻利维亚、智利、哥斯达黎加、墨西哥、意大利、西班牙、葡萄牙、泰国和土耳其。
为了避免出国旅游后信用卡等数据外泄,研究人员建议用户在线上订房或入住旅馆时,最好使用Apple Pay、Google Pay等虚拟信用卡,因为通常付过一次款后就会失效,不然就刷较不重要的卡。
黑客盯上饭店已经不是新闻。知名连锁饭店如洲际(IHG)、万豪(Marriott)、凯悦(Hyatt)、希尔顿,也都发生过PoS遭植入木马,导致数百万甚至上亿笔住客信用卡数据外泄。