photo by Patrick Tomasso on unsplash

卡巴斯基揭露駭客發動網釣郵件攻擊,專挑飯店PoS(Point of Sales)系統及知名訂房網站植入木馬程式,以竊取消費者信用卡號碼,已有歐洲及南美洲等20家飯店受害。

卡巴斯基GReAT研究小組在2015年首次發現的木馬程式RevengeHotels,在2019年有活動升高趨勢。RevengeHotels主要以飯店、青年旅館、民宿和觀光業為目標,透過電子郵件散佈假造Word、Excel或PDF文件,像是報價單。一經員工開啟,附件中的惡意程式即開採微軟Office一個舊有CVE-2017-0199漏洞,利用VBS和PowerShell scripts載入PoS系統,並安裝RevengeRAT、NjRAT、NanoCoreRAT、888 RAT或ProCC等惡意程式。這波攻擊目的在從受害者的PoS系統,竊取住客留下或來自Booking等熱門訂房網站的資訊及信用卡資料。

研究人員分析後,認為這波攻擊來自三個駭客組織。其中二個分別被命名為RevengeHotels及ProCC,他們向來鎖定旅行觀光業,冒充政府單位或民間公司佯稱要大量訂房來釣取受害者、並使用動態DNS服務導向其他代管業者或無辜伺服器散佈假文件。除了植入遠端存取木馬(RAT),他們也會出售受害系統資訊,讓其他犯罪組織可以輕鬆存取這些電腦。

研究人員還辨識出第三個駭客組織,但不確定是否只對觀光業下手,以及是否進行其他型式的攻擊。

最新的一波攻擊中已有20家飯店遭到毒手,其中8家位於巴西,其他則散見於歐洲、南美等國,包括阿根廷、玻利維亞、智利、哥斯大黎加、墨西哥、義大利、西班牙、葡萄牙、泰國和土耳其。

為了避免出國旅遊後信用卡等資料外洩,研究人員建議用戶在線上訂房或入住旅館時,最好使用Apple Pay、Google Pay等虛擬信用卡,因為通常付過一次款後就會失效,不然就刷較不重要的卡。

駭客盯上飯店已經不是新聞。知名連鎖飯店如洲際(IHG)萬豪(Marriott)凱悅(Hyatt)希爾頓,也都發生過PoS遭植入木馬,導致數百萬甚至上億筆住客信用卡資料外洩。


Advertisement

更多 iThome相關內容