Viagens não tão seguras: cibercriminosos brasileiros roubam dados de cartões de crédito de hóspedes ao redor do mundo

Publicado em Servidor

A Kaspersky, empresa internacional de cibersegurança, acompanhou desde 2015 a campanha RevengeHotels que inclui vários grupos que usam trojans de acesso remoto (RATs) tradicionais para infectar empresas do setor hoteleiro no qual mais de 20 hotéis na América Latina, Europa e Ásia foram vítimas destes ciberataques. Mesmo os usuários mais cuidadosos poderiam ser enganados e acabariam abrindo e baixando os anexos do golpe, pois eles incluem muitos detalhes e são extremamente convincentes. O único detalhe capaz de revelar o golpe seria um erro de grafia no domínio da organização.

Pesquisa da Kaspersky revela campanha RevengeHotels, que é direcionada ao setor hoteleiro, confirmou mais de 20 hotéis na América Latina, Europa e Ásia como vítimas destes ataques direcionados. É possível que mais hotéis ao redor do mundo tenham sido afetados e há um risco de que os dados de cartões de crédito dos viajantes armazenados em seus sistemas de administração, inclusive os recebidos de agências de viagens online, tenham sido roubados e vendidos a criminosos em todo o mundo.

A campanha RevengeHotels inclui vários grupos que usam trojans de acesso remoto (RATs) tradicionais para infectar empresas do setor hoteleiro. Ativa desde 2015, ela iniciou sua expansão em 2019 e foram identificados pelo menos dois grupos participantes, o RevengeHotels e o ProCC, mas é possível que outros cibercriminosos estejam envolvidos.

O principal vetor de ataque são e-mails com documentos maliciosos anexos em formato Word, Excel ou PDF. Alguns deles exploram a vulnerabilidade CVE-2017-0199, que é carregada usando scripts VBS e do PowerShell e instalam versões personalizadas do trojan RATs e outros malwares personalizados, como o ProCC, no computador da vítima. Após obter acesso, os criminosos poderiam executar comandos e configurar o acesso remoto aos sistemas infectados.

Os e-mails de spear-phishing foram elaborados com muitos detalhes e, em geral, usam pessoas reais e de organizações verdadeiras para realizar a solicitação de reserva falsa para um grande grupo de pessoas. Mesmo os usuários mais cuidadosos poderiam ser enganados e acabariam abrindo e baixando os anexos do golpe, pois eles incluem muitos detalhes – como cópias de documentos oficiais e motivos para fazer a reserva no hotel – e são extremamente convincentes. O único detalhe capaz de revelar o golpe seria um erro de grafia no domínio da organização.

Phishing imitando uma solicitação de reserva de um escritório de advocacia

O computador infectado só podia ser acessado remotamente pelo próprio grupo criminoso e o malware atua na coleta de dados nas áreas de transferência, sistemas de impressão e capturas de tela (essa função é acionada usando palavras específicas em inglês ou em português) nos computadores da recepção. Como os funcionários dos hotéis muitas vezes copiam dados de cartões de crédito dos clientes das agências de viagens online para fazer a cobrança, esses dados também podem ser comprometidos. Evidências coletadas pelos pesquisadores da Kaspersky permitem afirmar que esse acesso remoto às recepções de hotéis e os dados que elas contêm são vendidos em fóruns criminosos.

A telemetria da Kaspersky confirmou vítimas na Argentina, Bolívia, Brasil, Chile, Costa Rica, França, Itália, México, Portugal, Espanha, Tailândia e Turquia. No entanto, dados extraídos do Bit.ly, um serviço conhecido de redução de links usado pelos atacantes para disseminar links maliciosos, deu indicações aos pesquisadores da Kaspersky que usuários de muitos outros países pelo menos acessaram o link malicioso. Esse fato sugere que o número de países com possíveis vítimas pode ser maior.

“Conforme os usuários ficam mais desconfiados em relação à proteção de seus dados, os cibercriminosos voltam-se a empresas menores, que muitas vezes não estão muito bem protegidas contra ciberataques e que processam uma grande quantidade de dados pessoais. Organizações hoteleiras e outras pequenas empresas que lidam com dados de clientes precisam ter mais cuidado e utilizar soluções de segurança profissionais para evitar vazamentos de dados que podem afetar seus clientes e ainda prejudicar a reputação do hotel”, afirma Dmitry Bestuzhev, chefe da Equipe de Pesquisa e Análise Global da Kaspersky na América Latina.

Para garantir a segurança, os hóspedes devem:

• Usar um cartão virtual para reservas feitas em serviços online de viagens, pois normalmente esses cartões expiram depois de uma cobrança

• Usar uma carteira virtual, como Apple Pay ou Google Pay, ou um cartão de crédito secundário com limite de crédito ao pagar uma reserva ou fazer check-out na recepção do hotel

Já proprietários e gerentes de hotéis também devem seguir alguns procedimentos para proteger os dados de seus clientes:

• Realizar avaliações de risco na rede e implementar normas de manipulação de dados de clientes

• Usar uma solução de segurança confiável com funcionalidades de proteção web e controle de aplicativos, como o Kaspersky Endpoint Security for Business. A proteção web ajuda a bloquear o acesso a sites maliciosos e phishing e o controle de aplicativos (no modo de lista de permissões) garante que nenhum programa, exceto os incluídos nas listas de permissões, seja executados nos computadores da recepção.

• Realizar treinamentos em conscientização sobre segurança para ensinar os funcionários a identificar tentativas de spear-phishing e mostrar como é importante prestar atenção ao trabalhar com e-mails recebidos.

Para acessar o relatório completo do ‘RevengeHotels: cibercrime direcionado a recepções de hotéis do mundo inteiro’ está disponível em Securelist.com.

Sobre a Kaspersky

A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A detalhada inteligência de ameaças e a especialização em segurança da Kaspersky se transformam continuamente em soluções e serviços de segurança inovadores para proteger empresas, infraestruturas críticas, governos e consumidores finais do mundo inteiro. O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky, e ajudamos 270.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais em http://www.kaspersky.com.