مجرمو الإنترنت يسرقون بيانات بطاقات الائتمان من مكاتب الاستقبال في الفنادق حول العالم

أكدّ بحث أجرته كاسبرسكي حول حملة RevengeHotels الرقمية التي تستهدف قطاع الضيافة، أن أكثر من 20 فندقًا في أمريكا اللاتينية وأوروبا وآسيا وقعت ضحية هجمات موجهة استخدمت فيها برمجيات خبيثة، ومن المحتمل أن تتأثر بها المزيد من الفنادق في أنحاء العالم. وتستهدف هذه الهجمات بيانات بطاقة ائتمان المسافرين المخزّنة في نظم إدارة الفنادق، بما فيها البيانات الواردة من وكالات الحجز عبر الإنترنت.

وتتألف حملة RevengeHotels من مجموعات مختلفة تستخدم تروجانات الوصول عن بُعد (RATs) التقليدية والمصممة لتصيب الشركات العاملة في قطاع الضيافة. ونشطت الحملة منذ العام 2015 لكنها استمرت في الاتساع في 2019. وتمّ تحديد مجموعتين على الأقل، هما RevengeHotels وProCC، من المجموعات التي تقف وراء الحملة وتشكل جزءًا منها، مع احتمال مشاركة مزيد من المجموعات التخريبية فيها.

وتمثل الناقل الرئيس للهجوم المعتمد في هذه الحملة برسائل البريد الإلكتروني التي تحتوي على مستندات خبيثة مرفقة من نوع Word أو Excel أو PDF. ويستغل البعض منها CVE-2017-0199، ويقوم بتحميله باستخدام نصوص برمجية من VBS وPowerShell قبل تثبيت إصدارات مخصصة من تروجانات الوصول عن بُعد وغيرها من البرمجيات الخبيثة المخصّصة، مثل ProCC، على جهاز الضحية الذي يمكن أن ينفذ فيما بعد الأوامر ويمهّد السبيل للوصول إلى النظم المصابة عن بُعد.

وجرى تصميم كل رسالة بريد إلكتروني للتصيّد الموجه مع إيلاء التفاصيل اهتمامًا خاصًا وانتحال هوية موظفين من شركات معروفة للتقدم بطلب حجوزات مزيفة لمجموعة كبيرة من الأشخاص. وتجدر الإشارة إلى أنه يمكن خداع حتى المستخدمين الحذرين وجرّهم لفتح المرفقات في رسائل البريد الإلكتروني هذه لأنها تشمل وفرة من التفاصيل (مثل نسخ من المستندات القانونية، وأسباب الحجز في الفندق) ما يجعلها تبدو مقنعة. أما التفصيل الوحيد الذي من شأنه أن يكشف عن الخدعة والهجوم فيكمن في اختلاف اسم النطاق عن ذلك الخاص بالشركة الأصلية التي جرى انتحال هويتها.

رسالة بريد إلكتروني تصيدية مرسلة إلى فندق تحمل طلب حجز من مكتب أحد المحامين

بمجرد الإصابة، لا يقتصر الوصول إلى الحاسوب عن بُعد على مجموعة مجرمي الإنترنت نفسها التي قادت الهجوم، فقد أظهرت الأدلة التي جمعها باحثو كاسبرسكي أن الوصول عن بُعد إلى مكاتب الاستقبال والبيانات التي تحتوي عليها باتت تُباع في منتديات إجرامية على أساس الاشتراك. وتُجمع البيانات من الحافظات الرقمية لمكاتب الاستقبال والمخازن المؤقتة للطابعات ولقطات الشاشة عبر البرمجيات الخبيثة، فيما يجري تفعيل هذه الوظيفة باستخدام كلمات محددة باللغة الإنجليزية أو البرتغالية. ونظرًا لأن موظفي الفندق غالبًا ما ينسخون بيانات بطاقات الائتمان الخاصة بالعملاء والواردة من وكالات الحجز عبر الإنترنت من أجل تحميلها الرسوم المطلوب سدادها، فإن بالإمكان أيضًا اختراق هذه البيانات وسرقتها.

وأكدت أجهزة كاسبرسكي الخاصة بالقياس عن بعد وجود أهداف للحملة المذكورة في الأرجنتين وبوليفيا والبرازيل وتشيلي وكوستاريكا وفرنسا وإيطاليا والمكسيك والبرتغال وإسبانيا وتايلاند وتركيا. ومع ذلك، واستنادًا إلى البيانات المستخرجة من Bit.ly، وهي خدمة شائعة لتقصير روابط الويب يستخدمها المهاجمون لنشر الروابط الخبيثة، يفترض باحثو كاسبرسكي أن المستخدمين من العديد من البلدان الأخرى قد وصلوا على الأقل إلى الرابط الخبيث، وإن لم يقعوا ضحايا له، ما يشير إلى أن عدد البلدان التي يُحتمل أنها تأثرت بالحملة قد يكون أكبر.

وقال دمتري بستوزهي رئيس فريق البحث والتحليل العالمي في أمريكا اللاتينية لدى كاسبرسكي، إن مجرمي الإنترنت يلجأون إلى الشركات الصغيرة، التي غالبًا ما تكون غير محمية جيدًا من الهجمات الإلكترونية وتمتلك كمًّا كبيرًا من البيانات الشخصية، وذلك نظرًا لأن المستخدمين باتوا يتوخون مزيدًا من الحذر لحماية بياناتهم، داعيًا أصحاب الفنادق والشركات الصغيرة التي تتعامل مع بيانات العملاء إلى أن يكونوا “أكثر حذرًا وأن يطبقوا حلولًا أمنية مهنية عالية المستوى لتجنب تسرّب البيانات التي قد لا تؤثر فقط في العملاء، بل تلحق الضرر أيضًا بسمعة المنشأة”.

ويُنصح المسافرون من أجل البقاء في أمان، باتباع ما يلي:

استخدام بطاقة دفع افتراضية للحجوزات التي تُجرى من خلال وكالات الحجز عبر الإنترنت، والتي تنتهي صلاحيتها عادةً بعد عملية استخدام واحدة.
استخدام محفظة افتراضية مثل Apple Pay أو Google Pay عند سداد مبلغ الحجز في مكتب الاستقبال بالفندق، أو بطاقة ائتمان ثانوية ذات حدّ ائتماني منخفض.
ويُنصح أصحاب الفنادق وإداراتها باتباع الخطوات التالية لتأمين بيانات النزلاء:

إجراء تقييمات للمخاطر على الشبكات الحالية وتنفيذ اللوائح المتعلقة بكيفية التعامل مع بيانات العملاء.
استخدام حلّ أمني موثوق به مع حماية ويب ووظائف للتحكم في التطبيقات، مثل Kaspersky Endpoint Security for Business. إذ تساعد حماية الويب في منع الوصول إلى مواقع التصيّد الخبيثة ومواقع الويب التخريبية بينما يسمح التحكم في التطبيقات (عند تشغيله في وضع القائمة البيضاء) بضمان عدم تشغيل أي تطبيق باستثناء التطبيقات المدرجة في القائمة البيضاء على أجهزة حاسوب مكتب الضيافة.
تقديم تدريب على الوعي الأمني للموظفين لتعليمهم كيفية اكتشاف محاولات التصيّد وإظهار أهمية اليقظة عند العمل مع رسائل البريد الإلكتروني الواردة.