אם הזמנתם מלון או צימר בדצמבר האחרון, ייתכן שמישהו ניסה "לשריין" לעצמו גם את הפרטים שלכם. לקראת עונת החופשות העמוסה של סוף 2024 - עם חנוכה, חג המולד ושאר סיבות מצוינות לארוז מזוודה - זיהתה מיקרוסופט קמפיין פישינג מתוחכם שהתחזה לאתר התיירות הפופולרי Booking.com. אלא שהפעם לא מדובר בעוד הונאה חובבנית, אלא במבצע מתוזמן היטב, שהופנה ישירות לארגונים בתחום האירוח תוך שימוש בטכניקות הנדסה חברתית מתוחכמות בשם ClickFix (שיטת פישינג שמפתה משתמשים להריץ פקודות זדוניות בעצמם. המטרה? הפצת נוזקות שיגנבו אישורי גישה, ישתלטו על חשבונות ויפתחו דלת להונאות פיננסיות וגניבות - והגרוע מכל? גם בפברואר 2025, הקמפיין עדיין רץ במלוא העוצמה.
מתקפת הפישינג הזו לא ניסתה לפתות תיירים תמימים, אלא כוונה דווקא לאנשים שעובדים מול Booking.com - אנשי מלונאות ותיירות שקיבלו לכאורה הודעות רשמיות מהאתר. אך מאחורי המיילים ה"חשובים" הסתתרו הוראות מניפולטיביות והודעות שגיאה מזויפות, שתוכננו לגרום למשתמשים ללחוץ בדיוק על מה שאסור. וכאן נכנסת לפעולה שיטת ClickFix: רגע אחד של חוסר תשומת לב - והמייל התמים לכאורה הופך לכלי שמוריד נוזקה ישירות לתוך המערכת. מאחר והשיטה מחייבת מעורבות של המשתמש, היא מצליחה לעקוף לא מעט מנגנוני אבטחה אוטומטיים ולייצר כאב ראש אמיתי לארגונים שנפלו בפח.
המתקפה כללה שליחת מייל פישינג למשתמשים מתחום האירוח. תוכן המיילים נוטה להשתנות ויכול לכלול כל מיני בקשות מאורחים פוטנציאליים, אימות חשבון, התייחסויות לביקורות שליליות מאורחים ועוד.
האימייל שנשלח הכיל קישור או קובץ PDF עם קישור נטען, המתחזה להפניה לאתר Booking.com. עם לחיצה על הקישור, המשתמש מועבר לעמוד אינטרנט המציג שכבת CAPTCHA מזויפת (מבחן בו המחשב מונחה להבדיל בין אדם למחשב) מעל רקע שנועד לדמות דף אמיתי של Booking.com. הדף הזה יוצר רושם של בדיקות אימות נוספות מצד הפלטפורמה, מה שעשוי להעניק למשתמש תחושת ביטחון כוזבת ובכך להגביר את הסיכון ליפול במתקפה.
במקרה של קמפיין הפישינג הנוכחי, השלב הקריטי בהונאה מתבצע בעמוד ה-CAPTCHA המזויף. שם נעשה השימוש בטכניקת ה-ClickFix המתוחכמת. במסגרת המתקפה, המשתמש מקבל הנחיה להשתמש בקיצור מקלדת לפתיחת חלון 'הפעלה' ב-Windows, להדביק ולהריץ פקודה שהאתר הזדוני מוסיף אוטומטית ללוח ההעתקה, תוך הטעיית המשתמש לחשוב כי מדובר בפעולה לגיטימית. הדבר כמובן מוביל להורדת הנוזקה למכשיר/מערכת.
מיקרוסופט מסווגת פעילות זו תחת Storm-1865, קבוצת קמפיינים של פישינג המתמקדות בגניבת אמצעי תשלום וביצוע הונאות פיננסיות. ארגונים יכולים למזער את ההשפעה של מתקפות פישינג מסוג זה על ידי הדרכת המשתמשים לזיהוי הונאות מסוג זה. בלוג זה כולל המלצות נוספות שיסייעו למשתמשים ולמגני אבטחה להגן מפני איומים אלו.
תגובת Booking.com
"הונאות מקוונות הן, למרבה הצער, אתגר שתעשיות רבות מתמודדות איתו. עם זאת, הודות לאמצעי האבטחה המתקדמים והמשמעותיים שאנו נוקטים ולמאמצינו המתמשכים לשיפורם, אנו מסוגלים לזהות ולחסום את רוב פעילות ההונאה. הדבר כולל מינוף של הטכניקות העדכניות ביותר בתחום הבינה המלאכותית ולמידת המכונה, במטרה לזהות פעילות חשודה במהירות המרבית. בנוסף, אנו מחויבים באופן מלא לסייע לשותפי האירוח שלנו לשמור על עסקיהם מוגנים, באמצעות מגוון שיטות, ובהן אימות דו-שלבי, סדנאות סייבר פרונטליות, תקשורת שוטפת ומרכז ייעודי למתן ייעוץ והכוונה בנושאי אבטחת סייבר".