- フィッシングキャンペーンがExpediaやCloudbedsの偽ログインページを使いホテル従業員を標的に
- 攻撃者はホスピタリティ業界の業務フローを深く理解し信頼性を高めている
- ホスピタリティ業界は機密性の高いゲストデータを常に扱うため主要な標的となっている
ホテルやその他のホスピタリティ業界の類似企業が、高度で非常に巧妙なフィッシングキャンペーンの標的となっています。
この攻撃の目的は、Expedia Partner CentralおよびCloudbedsというホスピタリティ業界向けの2つのプラットフォームから、ユーザー名、パスワード、そして場合によっては多要素認証トークン(MFA)を収集することです。
これはMimecastの脅威調査チームおよび研究者のSamantha Clarke氏とAnkit Gupta氏によるものです。同チームは、「ホテルマネージャーやスタッフに即時対応を促す、緊急かつ業務上重要な件名」を配信する継続的なキャンペーンを発見しました。
ホスピタリティ業界の業務フローを巧みに理解
通常、これらのメールは一般的な追跡アラート、システムの更新、ゲストの予約確認、パートナーセントラルからの通知などについて言及しています。これらはホスピタリティ業界で日常的に扱われる話題であり、一般的に時間的な猶予がありません。これらのメッセージに迅速に対応できないホテルは、売上を失うことが多いです。
つまり、このキャンペーンの背後にいる者は「ホスピタリティ業界の業務フローを巧みに理解している」と研究者は説明しています。メール内のリンクは被害者をExpediaやCloudbedsのログインページと見分けがつかない悪意あるランディングページへ誘導します。
ここで攻撃者はログイン資格情報や、場合によっては2要素認証コードを取得します。すべてのランディングページはVercel上にホストされていたと付け加えています。
メールアドレス、社会保障番号、パスポートや政府発行ID番号、生年月日、住所などの機密データは、サイバー犯罪者にとって非常に価値があります。
これらの情報を使うことで、重要なサービスや銀行口座などへのアクセスを得るフィッシング攻撃を仕掛けることができます。一方、ホスピタリティ業界の企業はこの種のデータを常に生成しているため、このようなキャンペーンの主要な標的となっています。
1か月も経たないうちに、サイバー犯罪者がイタリアの多数のホテルで使用されている予約システムに侵入し、数千人分のゲストの極めて機密性の高い情報を盗み出しました。それ以前にも、マリオットやヒルトンなどの大手ホテルチェーンでも、パートナー企業へのサプライチェーン攻撃の一環として顧客の機密データが流出しています。
