חוקרי אבטחה של מיקרוסופט זיהו קמפיין סייבר עולמי שהחל בדצמבר 2024, ובו תוקפים התחזו לאתר התיירות הפופולרי Booking.com במטרה להפיץ נוזקות. המתקפה התבססה על טכניקת הנדסה חברתית בשם ClickFix, שנועדה להערים על המשתמשים ולגרום להם להוריד תוכנות זדוניות למחשביהם.
מתי ולמה זה קרה?
ההאקרים ניצלו את תקופת החגים – כריסמס וחנוכה – שבה תיירות ונסיעות לחו"ל נמצאות בשיאן. צוות המחקר של מיקרוסופט, כולל חוקרים ממרכז הפיתוח הישראלי, חשף את הקמפיין שהתמקד במיוחד בארגונים מתחום האירוח, כמו מלונות ובעלי דירות נופש, שהשתמשו בפלטפורמת Booking.com.
במסגרת המתקפה, התוקפים שלחו מיילים מזויפים שנראו כאילו נשלחו מטעם Booking.com. מיילים אלה כללו הודעות שונות, כמו בקשה לאימות חשבון, התייחסות לביקורות שליליות או שאלות מאורחים פוטנציאליים. בתוך המייל הוטמע קישור (או קובץ PDF עם קישור) שהוביל לכאורה לאתר של Booking.com.
לאחר שהמשתמשים לחצו על הקישור, הם הועברו לעמוד אינטרנט מזויף עם מבחן CAPTCHA שנראה אמיתי. הדף נועד להגביר את תחושת האמינות וליצור רושם של אמצעי אבטחה נוסף מצד הפלטפורמה. אך בפועל, זה היה השלב הקריטי שבו בוצעה ההונאה.
3 צפייה בגלריה
עומס בנתב"ג. ההאקרים מנצלים תקופות עמוסות בטיולים כדי להוציא מתקפות
(צילום: שמוליק דודפור)
המשתמשים שהתפתו להמשיך קיבלו הוראה להשתמש בקיצור מקלדת לפתיחת חלון ההפעלה של Windows, ואז להדביק ולהריץ פקודה שהועתקה אוטומטית ללוח ההעתקה שלהם. ברגע שהפקודה הופעלה, הנוזקה הותקנה במערכת שלהם. מיקרוסופט מזהה את קבוצת ההאקרים העומדת מאחורי המתקפה בשם Storm-1865, אשר מתמחה בגניבת פרטי תשלום וביצוע הונאות פיננסיות. בסופו של דבר, ההאקרים השיגו גישה לנתוני תשלום של לקוחות, כולל הפקדות, תשלומים וביטוחים שבוצעו דרך הפלטפורמה.
מי בסיכון ואיך אפשר להתגונן?
בעלי עסקים קטנים בתחום האירוח, שאינם בהכרח מיומנים בזיהוי מתקפות סייבר, נמצאים בסיכון גבוה במיוחד. גם לקוחות שהזמינו שירותים דרך Booking.com עלולים להיפגע, ולכן חשוב לעקוב אחר החיובים בכרטיסי האשראי ולוודא שלא בוצעו עסקאות לא מוכרות.
מיקרוסופט ממליצה לעסקים ולמשתמשים להיזהר מאימיילים בלתי צפויים, לבדוק היטב את כתובת השולח לפני לחיצה על קישורים, ולא להריץ פקודות לא מוכרות במערכת. נכון לפברואר 2025, הקמפיין עדיין פעיל, והחוקרים ממשיכים לעקוב אחריו כדי לנסות ולסכל מתקפות נוספות.
תגובת booking.com: ״הונאות מקוונות הן למרבה הצער אתגר שתעשיות רבות מתמודדות איתו, אולם הודות לאמצעי האבטחה המשמעותיים והמתקדמים שאנו נוקטים והמאמצים המתמשכים שלנו לשיפורם, אנו מסוגלים לזהות ולחסום את הרוב המכריע של פעילות ההונאה, וזה כולל מינוף הטכניקות העדכניות ביותר של בינה מלאכותית ולמידת מכונה כדי לזהות פעילות חשודה במהירות המרבית״.
״יתר על כן, אנו מחויבים באופן מלא לסייע באופן יזום לשותפי האירוח שלנו לשמור על העסקים שלהם מוגנים באמצעות מגוון שיטות, כולל אימות דו-שלבי, סדנאות סייבר פרונטליות, תקשורת שוטפת ומרכז ייעודי למתן ייעוץ והכוונה בנושאי אבטחת סייבר״, לשון ההודעה.
