דוח חדש מבית OSINTMATTER מתאר ומפרט מתקפת דיוג מתוחכמת נגד Booking.com – פלטפורמת הזמנת נסיעות מקוונת מובילה. מתקפת הדיוג הזו כוללת גישה רב-שלבית המתחילה בפגיעה בחשבונות של בעלי מלונות ומסתיימת בהונאת לקוחות המלונות, ישירות דרך אפליקציית Booking.com. השלב הראשון כולל פגיעה בחשבונות Booking.com של בעלי מלונות, מה שמאפשר לפושעי הסייבר לחדור למערכות המחשוב המנהלות הזמנות ועסקאות של לקוחות. ברגע שחדרו, מתחיל השלב השני – הונאה של אורחי המלון דרך אפליקציית Booking.com הרשמית. גישה דו-צדדית זו הפכה את ההונאה לאחת המצליחות בעולם פשעי הסייבר, עם השלכות הרסניות הן על התעשייה והן על לקוחותיה.
בלב המבצע הזה נמצא דומיין מוסווה בשם 'extraknet-booking.com', אשר עוצב בקפידה כדי לחקות את תת-הדומיין הלגיטימי 'extranet-booking.com' המשמש את מנהלי מלונות Booking.com. על ידי שינוי עדין של שם הדומיין, הצליחו פושעי הסייבר לרמות אפילו את המשתמשים הערניים ביותר והפנו אותם לפורטל מזויף המשקף את ממשק Booking.com המקורי. פורטל הונאה זה תוכנן בקפידה כדי לאסוף מידע רגיש כמו אישורי כניסה, נתונים אישיים ופרטים פיננסיים. כדי לפתות קורבנות לפורטל זה, השתמשו פושעי הסייבר במגוון טקטיקות, החל מהודעות דוא"ל מזויפות ועד טכניקות מתקדמות של הרעלת SEO – מניפולציות בתוצאות של מנועי החיפוש כדי לגרום לאתרים זדוניים להיראות לגיטימיים. אחד המאפיינים הבולטים של אתר דיוג זה הוא השימוש שלו בערפול JavaScript – טכניקה המופעלת כדי לטשטש את הקוד הזדוני ולהתחמק מזיהוי על ידי כלי אבטחה. הערפול, שכלל קידוד מחרוזת ספציפית באמצעות parseInt, הקשה על ניתוח הקוד. מחרוזת זו, כאשר פוענחה, חשפה את המילה 'загружено' בכתב קירילי – רמז על קשרים אפשריים לאזורים דוברי רוסית.
ניתוח נוסף של קבצי JavaScript שבוצעו על ידי "extraknet-booking.com" חשף קשרים לעשרות אתרים זדוניים אחרים, כולם מקושרים לתוכנה זדונית טרויאנית בשם Ninja. נוזקה זו ידועה בכך שהיא מאפשרת למספר מפעילים לשלוט בו זמנית במערכות שנפגעו, מה שהופך אותה לכלי רב עוצמה בארסנל של פושע הסייבר. אלמנט קריטי נוסף שנחשף במסע הדיוג הזה היה זיהוי של 238 בקשות STUN (Session Traversal Utilities for NAT) לדומיינים שונים הקשורים לשירותי WebRTC VoIP פתוחים. בעוד שבקשות STUN נמצאות בשימוש נפוץ ביישומים לגיטימיים כמו שיחות VoIP, הנפח הבלתי רגיל ושימוש ביציאות לא סטנדרטי שנצפו כאן מצביעים על כוונות זדוניות פוטנציאליות, כגון גניבת מידע או שמירה על תקשורת סמויה עם מערכות מחשוב שנפגעו. אחד משרתי STUN ליצירת קשר, 'stun.usfamily.net', כבר סומן כשרת נפרץ, מה שעורר חשד מוגבר לגבי פעילות פושעי הסייבר. השימוש ב- STUN בהקשר זה מתיישב עם ממצאי מחקרים קודמים, שהדגישו כיצד מנצלים פושעי סייבר פרוטוקולים חדשים ומסתירים תעבורה זדונית בתוך שירותים לגיטימיים.
באתר הדיוג נעשה שימוש גם בטכניקות הסוואה דינמיות – שיטה מתוחכמת המאפשרת לאתר להציג תכנים שונים על סמך פרופיל המשתמש. בהתאם לגורמים כמו כתובת IP, הגדרות דפדפן או נתונים מזוהים אחרים – עשוי האתר להציג את הפורטל המזויף הזדוני, דף Booking.com המקורי, או אפילו דפי שגיאה כדי להתחמק מזיהוי על ידי חוקרי אבטחה. מנגנון הסוואה זה מגן ביעילות על פעולת הדיוג מעיניים סקרניות ומקשה על חוקרי סייבר לחשוף את מלוא היקף ההונאה. בדיקות שנערכו בתצורות שונות של מכונות וירטואליות הדגימו כיצד יכול האתר לספק תגובות מגוונות עד גישה מלאה לפורטל הדיוג, בהתבסס על התנאים שהתקיימו.
במהלך החקירה, גילוי מרכזי – דף ההתחזות הכיל iFrame המקושר אל 'httxx://ls.cdn-gw-dv[.]vip/+dedge/zd/zd-service[.]html', אשר המחבר מאות אתרי דיוג אחרים המכוונים ל- Booking.com ולפלטפורמות דומות. iFrame זה שימש כלי רב עוצמה עבור פושעי הסייבר ואיפשר להם לרכז שליטה, להרחיב את טווח ההונאה שלהם ולאסוף ניתוחים יקרי ערך אודות האפקטיביות של דפי ההתחזות השונים שלהם.
מתקפה זו מדגישה את האופי המתוחכם של מתקפות דיוג ואת הצורך הדחוף במודעות מוגברת לסייבר בתעשיית הנסיעות. עסקים ואנשים פרטיים חייבים לנקוט משנה זהירות בעת אינטראקציה עם מיילים וקישורים, במיוחד אלו הקשורים ל- Booking.com או לפלטפורמות נסיעות אחרות. חיוני לאמת באופן עצמאי את הלגיטימיות של כל אתר לפני הזנת מידע רגיש.
