28.11.2023 - I cibercriminali tentano di trarre in inganno gli alberghi e i loro ospiti con nuovi tipi di truffe. Ultimamente gli hotel ricevono e-mail i cui mittenti sostengono di essere stati morsi dalle cimici dei letti o di essere divenuti vittime di ricatto dopo essere stati filmati di nascosto nella loro camera. L’obiettivo dei truffatori è spingere i collaboratori dell’albergo a installare un malware.
L’NCSC aveva messo in guardia i lettori della sua retrospettiva settimanale già all’inizio di quest’anno, quando era emerso il caso di un finto receptionist che contattava gli ospiti degli alberghi per farsi comunicare i dati delle loro carte di credito. Dopo aver prenotato una camera, questi ultimi ricevevano un messaggio su WhatsApp. Gli aggressori conoscevano tutti i dettagli della prenotazione e sfruttavano tali informazioni per convincere la vittima che si trattava di una richiesta legittima da parte dell’albergo. Al tempo l’NCSC sospettava che i cibercriminali avessero ottenuto l’accesso all’account di «booking.com» dell’hotel. Recenti segnalazioni hanno permesso di individuare la procedura applicata dagli aggressori, che tentano di infettare con dei malware i computer degli alberghi per rubare i dati di accesso alle piattaforme di prenotazione online.
Ricatto con presunti video e foto della camera d’albergo
Le segnalazioni ricevute la scorsa settimana dall’NCSC mostrano che i computer degli alberghi sono attualmente colpiti da un’ondata di infezioni da malware. Nel corso degli attacchi vengono utilizzati diversi metodi di ingegneria sociale per incitare il personale dell’albergo a cliccare su un link e installare un programma nocivo.
In una delle truffe l’albergo riceve un’e-mail da un presunto ospite. Quest’ultimo sostiene di essere ricattato con delle foto pornografiche che si presume siano state scattate nella camera dove soggiornava. Il mittente concede due giorni all’hotel per chiarire la questione e scoprire il colpevole, altrimenti sarà ritenuto complice. Quale prova dell’accaduto, l’intera documentazione del caso sarebbe stata archiviata in un file scaricabile tramite un link indicato nell’e-mail.
Seguendo le istruzioni del truffatore, viene scaricato un file ZIP di 50 MB che, una volta aperto, mostra un file eseguibile di 637 MB. È probabile che una tale quantità di dati serva da un lato a far pensare a file di grandi dimensioni – come ad esempio foto o video – ma, dall’altro, anche ad aggirare i software antivirus. Spesso infatti i file così pesanti non vengono scansionati. Il file in questione è in realtà un malware.
Le vere intenzioni dei malfattori sono chiare: scioccare il personale dell’hotel per indurlo ad agire in maniera impulsiva anche solo per un momento. Se la vittima cerca di aprire il file eseguibile, il sistema operativo le chiede se intende davvero procedere con l’installazione, dandole la possibilità di evitare l’infezione. Gli aggressori sperano che la loro storia scioccante induca le vittime a ignorare l’avvertimento e a cliccare semplicemente su OK.
Infine, il malware registra tutti i dati d’accesso disponibili e li trasmette ai truffatori, permettendo loro di visualizzare le prenotazioni dell’albergo effettuate tramite piattaforme online come «booking.com».
Ricatto per la presenza di cimici dei letti e conseguenti problemi di salute
Quello appena descritto non è però l’unico tipo di truffa in circolazione riguardante gli alberghi. L’NCSC ha ricevuto anche un’altra segnalazione riguardante un’e-mail in cui un ospite sosteneva di essere stato morso dalle cimici dei letti, che gli avrebbero causato gravi problemi di salute costringendolo a rivolgersi a un medico. Anche in questo caso, l’aggressore ha inserito un link di un file ZIP caricato su Google Drive contenente le presunte prove. Questa volta, però, il file era protetto da una password che veniva condivisa nella stessa e-mail.
Proteggere il programma nocivo con una password è una strategia comune. L’obiettivo dei truffatori è cercare di ostacolare i meccanismi di rilevamento di Google Drive in grado di riconoscere e disattivare direttamente i malware.
Segnalazioni contemporanee degli ospiti
Non ci è voluto molto tempo prima che l’NCSC venisse informato in merito all’uso illecito dei dati rubati. La scorsa settimana, infatti, sono state trasmesse anche segnalazioni di persone che avevano prenotato una camera d’albergo. Queste ultime avevano ricevuto, subito dopo la prenotazione, un messaggio di «booking.com» che li invitava a verificare i dati della propria carta di credito tramite un link indicato entro 24 ore, altrimenti la camera non sarebbe stata prenotata. Il link portava a un sito di phishing personalizzato in cui erano riportati i dati corretti della prenotazione effettuata. I dati devono essere stati trafugati in precedenza dall’account di «booking.com» dell’hotel.
Consigli per gli hotel:
- Se sospettate che il vostro computer sia stato infettato, disconnettetelo immediatamente da Internet e cambiate le password di tutti i vostri account online da un altro dispositivo non compromesso.
- Molti programmi nocivi apportano al sistema modifiche sostanziali a cui è difficile porre rimedio. In caso di confermata infezione l’intero sistema deve quindi essere resettato. Eseguire backup regolari facilita il ripristino dei vostri dati.
- Ovviamente, gli hotel devono aprire molti documenti inviati dagli ospiti, ma i file eseguibili non devono mai essere aperti per nessuna ragione.
- Mantenete i sistemi operativi sempre aggiornati.
- Pensate a una strategia che vi permetta di tenere i computer dedicati alla comunicazione con gli ospiti separati dal resto della rete.
Consigli per gli ospiti:
- Valgono gli stessi consigli sul phishing apparsi nella retrospettiva precedente.
- Se doveste ricevere una simile e-mail di phishing, contattate subito l’hotel e la piattaforma di prenotazione.
Numeri e statistiche attuali
Segnalazioni della scorsa settimana per categoria:
Ultima modifica 28.11.2023
