“Non diremmo che ogni singolo messaggio di phishing da noi osservato sia sicuramente causato da una compromissione diretta dei sistemi interni dell’resort”, afferma il ricercatore. I messaggi di phishing potrebbero essere stati inviati utilizzando informazioni provenienti da altre violazioni dei dati o sistemi non collegati al settore dei viaggi. “Il fattore comune è che i criminali stanno utilizzando come arma il contesto reale delle prenotazioni e spingendo i viaggiatori verso controlli o flussi di pagamento falsi”, afferma Corrons.
Corrons afferma che Norton non è stato in grado di individuare completamente chi potrebbe esserci dietro gli attacchi, ma afferma che le indagini sono in corso. Coloro che inviano alcuni messaggi di phishing sembrano utilizzare package di phishing progettati per accelerare e automatizzare il processo di invio e raccolta di informazioni, afferma, e in molti casi è stato utilizzato lo stesso package di phishing o la stessa infrastruttura tecnica. La società non pubblica l’elenco completo degli resort e degli alloggi per le vacanze potenzialmente compromessi, afferma Corrons; tuttavia, afferma che la società è stata in contatto con Europol in merito ai suoi risultati.
Un portavoce dell’Europol ha rifiutato di commentare, dicendo che non si discute della sua attività operativa.
“Continuiamo a rafforzare le nostre difese per ridurre i rischi e limitare le opportunità che i malintenzionati prendano di mira i nostri companion ricettivi e i nostri clienti, e stiamo vedendo risultati”, afferma un portavoce di Reserving.com.
Cloudbeds afferma che l’azienda non è stata violata e gli attacchi descritti dai ricercatori Norton sono campagne di phishing di credenziali rivolte al personale dell’resort e poi ai clienti. “Il motivo per cui queste truffe sono così efficaci è che l’aggressore non tira a indovinare: sa esattamente chi è l’ospite, quando arriva e quanto ha pagato”, afferma Aaron Ownbey, vicepresidente del settore tecnico di Cloudbeds.
I tentativi di hackerare resort e utilizzare i dati dei clienti per lanciare attacchi di phishing esistono da anni. Nel settore dei viaggi, gli resort utilizzano spesso una gamma di software program di gestione della proprietà o diversi sistemi che consentono alle persone di effettuare prenotazioni tramite società terze. Allo stesso tempo, il personale può gestire facilmente i dettagli chiave dei clienti e le prenotazioni. “Il settore dell’ospitalità deve aumentare collettivamente il livello di sicurezza di base: una migliore formazione per il personale della reception, una più ampia adozione di sistemi di autenticazione resistenti al phishing e controlli più severi su come è possibile accedere ed esportare i dati degli ospiti da qualsiasi piattaforma”, afferma Ownbey.
È meno probabile che gli resort più piccoli dispongano di migliori pratiche di sicurezza, come l’autenticazione a più fattori per i membri del personale, afferma Don Smith, vicepresidente della ricerca sulle minacce presso la società di sicurezza Sophos, che ha collaborato con aziende del settore dei viaggi.
Advert esempio, nel un incidente gestito da Sophosun criminale informatico ha inviato un’e-mail a un resort dicendo di aver perso il passaporto durante un recente soggiorno. In un messaggio successivo l’aggressore ha incluso un collegamento a una foto del passaporto; tuttavia, quando veniva cliccato veniva scaricato un file che includeva il ladro di informazioni Vidar, che può raccogliere i dettagli di accesso da un laptop infetto. Alcuni giorni dopo la distribuzione del malware, messaggi fraudolenti erano stati inviati ai clienti dall’account Reserving.com dell’resort e le persone si lamentavano di aver perso denaro.
“Gli autori delle minacce amano il contesto perché rende l’esca di phishing molto più avvincente”, afferma Smith. “È molto difficile non reagire semplicemente e non fare clic su qualcosa per rimuovere un elemento di stress da quella che potrebbe essere un’esperienza di viaggio stressante.”
Corrons, di Norton, afferma che l’inclusione di informazioni reali nei messaggi di phishing può rendere più difficile determinare cosa è legittimo e cosa è una truffa. In caso di dubbio, cube, contatta direttamente l’resort o la casa vacanza tramite un altro mezzo di contatto. “Anche se i dati contenuti nel messaggio sono reali”, afferma, “ciò non significa che ci si possa fidare del messaggio”.
