概要
新たなフィッシング活動は、Booking.comのエコシステムを利用してホテルパートナーやその顧客から不正利益を得ようとしています。このマルチステージキャンペーンでは、メールやインフラストラクチャの悪用、そしてメールとWhatsAppを介したソーシャルエンジニアリングが組み合わされています。
詐欺スキームの詳細
このキャンペーンは3つの段階で進行します。最初のステージでは、ホテルの予約やサービスデスク向けメールボックスにフィッシングメールを送信し、Booking.comからの「パートナー」コミュニケーションとして偽装されます。
第1ステージ
第1ステージ: フィッシングメールは、予約の状況や客室の空き状況、またはゲストからの苦情についてBooking.comから送信されたものとして偽装されます。
第2ステージ
第2ステージ: パートナー向けフィッシングキットを使用して、Booking.comのパートナーアカウント情報を盗みます。このキットは、公式サイトを模倣し、メールとウェブフィルタを回避するための複数のエイビーション技術を利用しています。
第3ステージ
第3ステージ: ステージ2で盗まれた認証情報を使用して、Booking.comの予約記録にアクセスし、顧客向けのフィッシングキャンペーンを開始します。この段階では、実際の宿泊情報とクレジットカードデータを盗むためのWhatsAppメッセージが送信されます。
インフラストラクチャ
このキャンペーンは高度な偽装技術を使用しており、ドメイン名やメールアドレスはBooking.comに似せて作られています。また、攻撃者が制御するインフラストラクチャを通じて、URLが悪意のあるものとして表示されないようにしています。
被害の拡大
この活動は、ホテルや小売業界全体を標的とし、Booking.comのパートナーを使用するホテルから始まります。その後、これらのホテルの顧客が次に標的となります。
対策
- メールからのリンクを開かない: 送信元を確認し、不審なメールにはリンクを開かない。
- パスワードの管理: パートナーアカウントと顧客アカウントに異なる強力なパスワードを使用する。
- セキュリティソフトウェアを更新: 最新の脅威情報を含むセキュリティソフトウェアを使用する。
結論
このマルチステージフィッシングキャンペーンは、Booking.comのエコシステムを利用してホテルパートナーや顧客から不正利益を得ようとしています。高度な偽装技術とソーシャルエンジニアリングを組み合わせた攻撃手法により、被害が拡大しています。