“No diríamos que cada mensaje de phishing que observamos fue necesariamente causado por una intrusión directa de los sistemas internos del hotel”, dijeron los investigadores. Los mensajes de phishing pueden enviarse utilizando información de otras filtraciones de datos o sistemas no relacionados con la industria de viajes. “El factor común es que los delincuentes utilizan el contexto de las reservas reales como arma y empujan a los viajeros a realizar verificaciones o flujos de pago falsos”, dijo Corrons.
Corrons dijo que Norton aún no ha podido revelar completamente quién pudo haber estado detrás del ataque, pero que la investigación está en curso. Aquellos que enviaron algunos de los mensajes de phishing parecían estar usando dispositivos de phishing diseñados para acelerar y automatizar el proceso de envío y recopilación de información, dijo, y en algunos casos, se habían utilizado dispositivos de phishing o infraestructura técnica similares. La compañía no publica una lista completa de hoteles y alojamientos vacacionales que se vieron potencialmente comprometidos, dijo Corrons; Sin embargo, dijo que su empresa se había puesto en contacto con Europol sobre sus conclusiones.
Un portavoz de Europol declinó hacer comentarios, diciendo que no discutieron sus operaciones.
“Seguimos reforzando nuestras defensas para reducir los riesgos y limitar las oportunidades para que los delincuentes apunten a nuestros socios de alojamiento y clientes, y estamos viendo resultados”, dijo un portavoz de Booking.com.
Cloudbeds dijo que la empresa no había sido vulnerada y que el ataque descrito por los investigadores de Norton era una campaña de phishing de credenciales dirigida al personal del hotel y luego a los clientes. “La razón por la que esta estafa es tan efectiva es porque los atacantes no pueden adivinar: saben exactamente quiénes son los invitados, cuándo llegan y cuánto están pagando”, dijo Aaron Ownbey, vicepresidente de ingeniería de Cloudbeds.
Durante años se han realizado intentos de piratear hoteles y utilizar datos de clientes para lanzar ataques de phishing. En la industria de viajes, los hoteles suelen utilizar un conjunto diferente de software o sistemas de administración de propiedades que permiten a las personas realizar reservas a través de empresas de terceros. Al mismo tiempo, el personal puede gestionar fácilmente los datos clave y las reservas de los clientes. “La industria hotelera necesita mejorar colectivamente los fundamentos de seguridad: mejor capacitación para el personal de recepción, implementación más amplia de autenticación anti-phishing y controles más estrictos sobre cómo se puede acceder y exportar los datos de los huéspedes desde cualquier plataforma”, dijo Ownbey.
Es menos probable que los hoteles pequeños implementen las mejores prácticas de seguridad, como la autenticación multifactor para los miembros del personal, dijo Don Smith, vicepresidente de investigación de amenazas de la firma de seguridad Sophos, que ha trabajado con empresas de la industria de viajes.
Por ejemplo, en un incidente fue manejado por SophosUn ciberdelincuente envió un correo electrónico a un hotel y dijo que había perdido su pasaporte durante una estadía reciente. En un mensaje de seguimiento, el atacante incluyó un enlace a una fotografía de pasaporte; sin embargo, cuando se hace clic, descarga archivos, incluido el ladrón de información Vidar, que puede recopilar datos de inicio de sesión de computadoras infectadas. Días después de la implementación del malware, se enviaron mensajes fraudulentos a los clientes desde cuentas de hoteles de Booking.com y la gente se quejó de que estaban perdiendo dinero.
“A los actores de amenazas les encanta el contexto porque hace que el atractivo del phishing sea mucho más atractivo”, dijo Smith. “Es realmente difícil no simplemente reaccionar y hacer clic en algo para eliminar un elemento estresante de una experiencia de viaje estresante”.
Corrons, de Norton, dijo que la inclusión de información real en los mensajes de phishing puede dificultar determinar cuáles son legítimos y cuáles son estafas. En caso de duda, dijo, contactar directamente con el hotel o alquiler vacacional a través de otro medio de contacto. “Incluso si los datos del mensaje son reales”, dijo, “eso no significa que puedas confiar en el mensaje”.
