Tội phạm mạng đang tận dụng thông tin đặt phòng khách sạn thật để thực hiện lừa đảo Spear-Phishing

Thông tin cá nhân và chi tiết đặt phòng của du khách tại hàng trăm khách sạn trên toàn cầu vừa được phát hiện là đã bị đánh cắp. Theo các nhà nghiên cứu bảo mật, những dữ liệu bị đánh cắp này đang bị tội phạm mạng tái sử dụng để tạo ra các tin nhắn lừa đảo (phishing) có độ tinh cao cao, nhằm mục đích đánh cắp thông tin thẻ tín dụng.

Ít nhất 350 khách sạn, nhà nghỉ, và khách sạn nhỏ tại 50 quốc gia đã dính phải các vụ lừa đảo được gọi là "chiếm đoạt đặt phòng" (reservation hijacking). Theo phân tích từ công ty bảo mật Norton, việc sử dụng thông tin đặt phòng hợp pháp trong tin nhắn lừa đảo làm tăng đáng kể khả năng nạn nhân bấm vào liên kết giả mạo và giao nộp các thông tin nhạy cảm khác cho tội phạm.

Chiến thuật lừa đảo có chủ đích cao

"Đây thực sự là một cuộc tấn công có chủ đích," ông Luis Corrons, người đứng đầu nghiên cứu tại Gen (công ty mẹ của Norton), nhận định. Các trang web lừa đảo mà công ty phân tích bao gồm tên khách sạn, mức giá khác nhau cho từng nạn nhân, cùng với các chi tiết check-in và check-out cụ thể được thêm vào trang.

"Đây là spear-phishing (lừa đảo nhắm mục tiêu cụ thể) được thiết kế riêng cho nạn nhân với các chi tiết đặt phòng thực tế," ông Corrons nói thêm.

Trong dữ liệu được phân tích, Đức có vẻ như là quốc gia có nhiều khách sạn bị lộ dữ liệu nhất, tiếp theo là Pháp, Anh, Ý, Tây Ban Nha và Mỹ. Các nhà nghiên cứu ước tính rằng 350 cơ sở lưu trú này có sức chứa khoảng 80.000 khách vào thời điểm cao điểm. "Hầu hết các cơ sở lưu trú này không lớn, họ là các khách sạn vừa và nhỏ," ông Corrons cho biết.

Quy mô và nguồn gốc của dữ liệu

Mặc dù việc hack vào hệ thống khách sạn để lấy dữ liệu đặt phòng đã tồn tại từ nhiều năm, nhưng các phát hiện này xuất hiện khi tội phạm mạng không ngừng mở rộng và phát triển phần mềm "phishing-as-a-service" (lừa đảo dưới dạng dịch vụ) để gửi hàng triệu tin nhắn lừa đảo giao hàng và thu phí mỗi tháng.

Các bộ công cụ lừa đảo này liên tục thêm các mồi nhử mới để lừa người dùng bấm vào liên kết độc hại và có thể mạo danh hàng chục thương hiệu toàn cầu. Theo dữ liệu từ FBI, năm ngoái người Mỹ đã mất hơn 200 triệu USD do các nỗ lực lừa đảo thành công.

Norton bắt đầu điều tra về gian lận liên quan đến khách sạn vào tháng 12 sau khi phát hiện một tin nhắn lừa đảo trông rất thật. Tin nhắn được gửi qua WhatsApp từ một tài khoản mạo danh trang web đặt phòng Booking.com, tự nhận là từ một khách sạn cụ thể và liệt kê ngày đặt phòng sắp tới, sau đó yêu cầu cá nhân bấm vào liên kết để xác nhận chi tiết. Liên kết này dẫn đến một trang web giả mạo và bao gồm một chatbot sẽ ngay lập tức chia sẻ mọi thông tin được nhập (như thông tin thẻ tín dụng) cho tin tặc.

Tin tặc có thể lấy được chi tiết đặt phòng cụ thể từ nhiều nguồn, bao gồm việc truy cập vào hệ thống khách sạn sau khi gửi tin nhắn lừa đảo cho nhân viên hoặc thông qua các dịch vụ đặt phòng bên thứ ba. Ví dụ, tin tặc có thể gửi email hoặc tệp chứa mã độc cho khách sạn để cố gắng lấy thông tin đăng nhập, thay vì khai thác lỗ hổng trong hệ thống.

Cảnh báo và khuyến nghị

Ông Corrons cho biết Norton chưa thể xác định rõ ai đứng sau các cuộc tấn công này nhưng cuộc điều tra vẫn đang diễn ra. Những kẻ gửi tin nhắn lừa dảo dường như đang sử dụng các bộ công cụ lừa đảo được thiết kế để tăng tốc và tự động hóa quy trình gửi và thu thập thông tin.

Một người phát ngôn của Booking.com cho biết: "Chúng tôi tiếp tục củng cố các biện pháp phòng thủ để giảm thiểu rủi ro và hạn chế cơ hội cho các tác nhân xấu nhắm vào đối tác lưu trú và khách hàng của mình, và chúng tôi đang thấy được kết quả tích cực."

Trong khi đó, CloudBeds khẳng định công ty không bị xâm nhập và các cuộc tấn công được mô tả là các chiến dịch lừa đảo thông tin đăng nhập nhắm vào nhân viên khách sạn rồi đến khách hàng. "Lý do các vụ lừa đảo này hiệu quả đến vậy là kẻ tấn công không cần đoán mò: Họ biết chính xác khách là ai, khi nào họ đến, và họ đã trả bao nhiêu tiền," ông Aaron Ownbey, phó chủ tịch kỹ thuật tại CloudBeds, nói.

Các chuyên gia khuyến cáo rằng ngành khách sạn cần nâng cao mức độ bảo mật chung—đào tạo tốt hơn cho nhân viên lễ tân, áp dụng rộng rãi xác thực đa yếu tố (MFA) và kiểm soát chặt chẽ hơn quyền truy cập dữ liệu khách.

Ông Corrons từ Norton khuyên rằng, việc đưa thông tin thật vào tin nhắn lừa đảo có thể khiến việc phân biệt đâu là hợp pháp và đâu là lừa đảo trở nên khó khăn hơn. Nếu nghi ngờ, ông khuyên người dùng nên liên hệ trực tiếp với khách sạn hoặc nơi lưu trú qua phương thức liên lạc khác.

"Ngay cả khi dữ liệu trong tin nhắn là thật, điều đó không có nghĩa là bạn có thể tin tưởng tin nhắn đó," ông kết luận.