fbpx
Categorie
news

Il resoconto dell’attacco “phishing”, spiegato bene

Ieri, giovedì 16 giugno 2022, un attacco informatico fraudolento definito “phishing” è stato indirizzato a molti clienti di Hotel in Cloud.

Iniziamo con l’informazione più importante: l’attacco è stato prontamente intercettato e bloccato sul nascere. NON risultano danni agli utenti di Hotel in Cloud, quindi possiamo tirare tutti un sospiro di sollievo.

L’attacco ai clienti di Hotel in Cloud era però ben architettato e potrebbe ricapitare sia a noi sia ad altri servizi di altre aziende.

Abbiamo deciso di condividere il resoconto dell’attacco, come è stato creato, come lo abbiamo intercettato e come lo abbiamo neutralizzato. Condividiamo questa esperienza anzitutto per trasparenza nei confronti dei clienti di Hotel in Cloud, che affidano quotidianamente la gestione delle loro aziende alla nostra piattaforma. Inoltre raccontiamo questa vicenda perché questa esperienza può tornare utile a tutti anche in altri casi e ad altre aziende. Purtroppo queste frodi sono sempre più frequenti, quindi è bene essere preparati.

Il termine “phishing” indica una truffa digitale che punta a “pescare” i dati personali della vittima, fingendosi un ente affidabile in email o altre comunicazioni.

Come è avvenuto l’attacco phishing verso i clienti di Hotel in Cloud

I truffatori hanno orchestrato l’attacco in più passi, come nei film dove i ladri si preparano in anticipo al grande colpo:

Fase 1: LA RICERCA 

Partiamo dal principio: i truffatori hanno scelto di attaccare specificamente gli utilizzatori di Hotel in Cloud. Per questo motivo hanno analizzato i siti web delle strutture ricettive che utilizzano il nostro modulo di prenotazione (Booking Engine) raccogliendo gli indirizzi email pubblici.

Esempio di un Booking Engine che mostra l’indirizzo e-mail pubblico per poter contattare la struttura.

Questo spiega come i truffatori hanno raccolto le email di molti clienti di Hotel in Cloud, e come mai non tutti i nostri clienti abbiano ricevuto la mail fraudolenta.

Fase 2: LA PREPARAZIONE DELLA TRAPPOLA

I truffatori hanno comprato un nome di un sito web (in gergo “dominio”) molto simile al nostro ufficiale. Hanno quindi ricopiato perfettamente lo stile grafico del sito ufficiale per proporre al visitatore di inserire le credenziali di accesso al sistema.
A colpo d’occhio era quindi molto difficile distinguere il sito truffaldino, se non si notava la differenze nella terminazione dell’indirizzo del sito web.

Il sito della truffa e quello ufficiale di Hotel in Cloud. Indistinguibili a colpo d’occhio.

Fase 3: L’ESECUZIONE

Giovedì 16 giugno 2022, a partire dalle ore 9.00, i truffatori hanno inviato le email che segnalavano l’arrivo di una nuova prenotazione. L’email conteneva un link che portava il destinatario al sito “trappola” che richiedeva di inserire le credenziali di accesso.

Esempio di email fraudolenta ricevuta da alcuni clienti di Hotel in Cloud

Tocco di classe dei truffatori: premendo su “login”, si veniva reindirizzati sul sito vero, rendendo ulteriormente difficile rendersi conto dell’inganno subito.

La risposta del nostro reparto tecnico

Rappresentazione grafica della reazione di Hotel in Cloud, raccolta da alcuni testimoni nei pressi dell’azienda.

In Hotel in Cloud abbiamo reagito prontamente, entro 30 minuti abbiamo avvisato dell’attacco in corso tutti i nostri clienti. Abbiamo inviato avvisi all’interno dell’applicazione e tramite email, e abbiamo raccomandato di ripristinare la propria password di accesso. La modifica della password garantisce di prevenire eventuali accessi non autorizzati, in particolare se si aveva cliccato sul link fraudolento e inserito le proprie credenziali.

In più abbiamo bloccato gli accessi potenzialmente malevoli, quelli effettuati dopo l’inizio dell’attacco e con password non aggiornata. Con buona probabilità questi accessi sarebbero potuti arrivare dai truffatori!
Agli utenti di cui abbiamo rilevato tentativi di accesso, abbiamo disabilitato l’accesso con l’obbligo di aggiornare la propria password per prevenire accessi non autorizzati.

Come abbiamo fatto a reagire così velocemente?

Il merito è di più ingredienti combinati:

  • una rete di clienti hotel fittizi pubblicati online con email false ma verosimili. Questi siti di prenotazione sono introvabili dai veri turisti interessati a viaggiare, ma facilmente trovabili da sistemi malevoli automatici. I malfattori non sanno distinguere i clienti veri da quelli fittizi, quindi raccolgono tutte le email possibili per l’attacco.
    Di fatto avevamo predisposto una “trappola” preventiva per prepararci a potenziali attacchi di questo tipo. Come si suol dire, la miglior difesa è l’attacco (preventivo)!
    Il risultato? Le email di phishing le riceve anche il nostro reparto tecnico, aiutando a intercettare un attacco in tempi rapidissimi;
  • un sistema di filtri automatici sugli accessi, basati sui comportamenti anomali.
    I truffatori hanno provato ad accedere alla nostra applicazione dall’Australia o altre regioni, facendo una serie di azioni inusuali per un utente legittimo. Queste anomalie hanno fatto suonare un “campanello di allarme”;
  • i nostri clienti in contatto con l’assistenza che, accorgendosi dello strano messaggio ricevuto, hanno subito avvisato l’assistenza per assicurarsi che il messaggio fosse legittimo.
    Vogliamo ripetere l’importanza di avere un’assistenza attenta e immediatamente disponibile. Fondamentale sia per intercettare le segnalazioni da parte dei clienti, sia per rassicurarli e aiutarli ad affrontare questa situazioni spiacevoli e prevenire il “panico” generale.

Qual era l’obiettivo dei truffatori?

Analizzando il traffico online abbiamo determinato che a seguito del furto di alcune credenziali, i truffatori hanno provato manualmente a esplorare l’interno del gestionale (fino a quel momento a loro sconosciuto). Hanno provato a capire nel più breve tempo possibile se fossero presenti dati interessanti come le carte di credito e come poterli estrarre.

L’accesso con le credenziali rubate da un umano (e non da un programma automatico) ha ridotto il tempo utile per poter rubare dei dati. Nei pochi minuti a disposizione, il truffatore ha individuato e provato a lanciare dei comandi per scaricare i dati delle carte di credito. Il truffatore si è però scontrato con un altro muro di sicurezza: per scaricare le carte di credito dai portali, era richiesta un’ulteriore password differente.
Risultato: i truffatori NON sono riusciti a superare questa seconda difesa.
Bonus: se anche avessero indovinato questa seconda password, i dati delle carte di credito sarebbero risultati comunque illeggibili grazie alla crittografia basata su hardware (o “passkey”). Per garantire la massima sicurezza, la chiave per decifrare le carte è posseduta solamente dal proprietario di ciascun hotel sul proprio dispositivo.

In totale le credenziali violate sono state 12, delle quali 9 bloccate automaticamente e 3 utilizzate dai truffatori per provare a rubare le carte di credito, senza riuscirci.

I clienti coinvolti sono stati tutti avvisati e messi al sicuro, bloccando gli accessi non autorizzato e ripristinando le loro credenziali. Se non hai ricevuto una nostra chiamata, è perché sei già al sicuro 👍

Nota: I nostri sistemi di sicurezza potrebbero aver “buttato fuori” anche alcuni accessi legittimi. In questo caso veniva richiesto nuovamente l’accesso a clienti non coinvolti dall’attacco o che avevano correttamente cestinato la mail trappola. Meglio prevenire che curare!

Come difendersi da questi attacchi

Di seguito riportiamo qualche regola e raccomandazione generale:

  • Attiva l’autenticazione due fattori di Hotel in Cloud:
    Ci metti due minuti ma guadagni un maggiore livello di protezione.
  • Assicurati che la provenienza delle comunicazioni sia sempre da un mittente noto. Nel caso di Hotel in Cloud le comunicazioni native dei nostri servizi provengono sempre da indirizzi che terminano con
    • @hotelincloud.com 
    • @ciaomanager.com
    • @ciaobnb.com
  • Verifica che il sito dove stai inserendo i tuoi dati sia il sito ufficiale. Nel caso di Hotel in Cloud i siti ufficiali sono:
    • www.hotelincloud.com
    • www.ciaomanager.com
    • www.ciaobnb.com
  • Accedi ad internet da un browser moderno e aggiornato. In determinati casi sospetti, il browser può segnalare questo genere di truffe con messaggi di avviso. Alcuni nostri clienti si sono insospettiti vedendo apparire gli avvisi di attenzione da parte del browser.
    I browser di riferimento ad oggi sono ChromeFirefox e Edge.
  • Al minimo dubbio, contatta l’assistenza ufficiale per una conferma sulla legittimità della comunicazione.

I prossimi passi

Per la natura stesa di questo genere di attacchi, purtroppo non possiamo escludere che la cosa si ripeta.

Lato nostro stiamo ulteriormente rinforzando i controlli automatici sugli accessi a Hotel in Cloud.

Conclusione

I sistemi di difesa di Hotel in Cloud si sono dimostrati solidi e reattivi in tempi rapidissimi. I ringraziamenti vanno ai nostri tecnici esperti che sorvegliano i nostri sistemi informatici, alla nostra assistenza sempre vigile e ai nostri clienti scrupolosi.

Il fatto che raccontiamo questa storia non vuol dire che siamo gli unici coinvolti da questo tipo di attacchi fraudolenti.
Anzi, questo genere di attacchi subdoli sono molto diffusi. Purtroppo questi attacchi non vengono sempre intercettati e comunicati con trasparenza, tenendo aperte le porte ai malintenzionati nel corso del tempo. Ci sono aziende che tendono a nascondere questo genere di esperienze per non rischiare di fare una brutta figura.

Noi siamo confidenti che per ridurre l’impatto di questi attacchi, è necessario parlarne ad ogni occasione utile. In questo modo si fa luce sul problema e si mantiene alta l’attenzione. Inoltre la condivisione di queste esperienze spiacevoli torna utile anche ad altre aziende che rischiano di vivere in futuro gli stessi attacchi.

La migliore difesa è l’informazione la prevenzione.

Chi volesse più dettagli o solamente mettersi in contatto con noi può farlo dal modulo di contatto presente sul nostro sito. (Il modulo di contatto non vi chiederà mai nessuna password, mi raccomando!).

Grazie per la fiducia che riponete in noi,
La (vera) squadra di Hotel in Cloud


Richiedi una demo gratis di Hotel in Cloud

Approfondiamo le tue esigenze e ti presentiamo le nostre soluzioni.
Ci vediamo di persona o da remoto, quando vuoi.

Richiedi una dimostrazione gratuita