Indice
ToggleIntroduzione
Recentemente il team di Unlock Security è stato ingaggiato per investigare su dei ripetuti tentativi di truffa ai danni degli ospiti di un hotel.
Dopo aver prenotato il soggiorno tramite booking.com gli ospiti vengono contattati tramite WhatsApp con messaggi e audio da una persona che, lamentando problemi nel pagamento, chiede di fare un bonifico su un IBAN diverso da quello dell'hotel. Con lo scopo di rendere la richiesta di pagamento credibile, durante la conversazione il malintenzionato fornisce un PDF contenente tutti i dati corretti della prenotazione.
Le prime ipotesi sulla provenienza di questi dati erano relative a credenziali di accesso coinvolte in qualche data breach, info stealer installati nella postazione di back-office, regole di inoltro delle mail, webhook sui sistemi di prenotazione, …
Eppure qualcosa non tornava: apparentemente la postazione di back-office è stata formattata, non è stata ricevuto alcun tentativo di phishing, sono state cambiate tutte le password e attivata la 2FA, e sono stati coinvolti diversi tecnici per investigare sul problema. Tutto sembra in ordine, ma ad ogni prenotazione gli ospiti vengono contattati e truffati con documenti molto convincenti che riportano tutti i dati inseriti nella prenotazione appena effettuata.
Analisi dell'incidente
Due prime stranezze
Iniziamo l'indagine facendo una chiacchierata con il direttore e alcuni dipendenti e le stranezze sono tutt'altro che finite.
Il 23 dicembre il portiere che svolge il turno di notte intorno alle 3 del mattino nota una luce provenire dalla stanza dove c'è la postazione di back-office, si avvicina e vede il mouse muoversi da solo e operare sul PC. In pieno stile Hackerino decide che la cosa migliore da fare è staccare tutto e spegnere il computer prima di segnalare l'incidente al direttore la mattina seguente.
Il giorno successivo arriva una chiamata alla reception dell'hotel in cui una persona, presentandosi come tecnico del supporto del gestionale in uso dalla struttura, chiede di confermare alcune disponibilità. Esatto, nessuna richiesta di credenziali, né di fare qualche operazione sul gestionale o sul terminale, solo confermare la disponibilità delle camere.
Analisi del documento inviato agli ospiti
Grazie ad alcuni ospiti che si sono insospettiti e hanno segnalato il tentativo di truffa alla struttura, siamo riusciti ad ottenere alcuni esempi di documento inviato per inscenare la truffa.
Tutti i documenti riportano con esattezza ogni dato della prenotazione: nome e cognome, quante e quali stanze sono state prenotate e in quale date esatte, il prezzo richiesto dalla struttura, il numero di ospiti, la carta di credito utilizzata e perfino le note aggiunte dall'ospite per qualche richiesta speciale.
Il documento è chiaramente autentico, ma com'è possibile che il malintenzionato abbia accesso a tutte queste informazioni o alla funzionalità per la generazione del documento se anche le credenziali del gestionale sono state cambiate?
La risposta viene dal link in fondo al documento:
https://channelmanager.evols.it/channel/PrintReservation?creditcard=1&idpreno={ID_PRENOTAZIONE}
La piattaforma Figaro
L’URL riporta ad un vecchio sistema gestionale per le prenotazioni di nome “Figaro” di Readytec s.p.a., in uso dalla struttura alberghiera prima della migrazione al nuovo sistema “Hotel in Cloud” di TeamSystem s.p.a.
Facendo delle ricerche è risultato che la società che sviluppa Figaro è diventata partner di Team System e si può quindi supporre che sia in corso una migrazione dal vecchio al nuovo gestionale. Per questo motivo, inoltre, è ragionevole ipotizzare che il vecchio gestionale, sia stato agganciato alla stessa base di dati utilizzata da “Hotel in Cloud”. Questo implica che entrambi i gestionali possono operare sugli stessi dati delle prenotazioni.
Avendo accesso a questo portale, verosimilmente, sarebbe possibile ottenere i dati delle prenotazioni dei clienti, quindi produrre il documento utilizzato nella truffa.
Le credenziali in possesso dall'hotel per l’accesso alla piattaforma risultano non essere più valide; si può supporre che il malintenzionato abbia avuto accesso alla piattaforma, quindi le abbia cambiate per mantenere l’accesso e bloccare ulteriori accessi da parte del personale della struttura. Poiché il gestionale “Figaro” non è più in uso da circa un anno, il cambio delle credenziali è passato inosservato.
Analisi della postazione di back-office
A questo punto sembra chiaro il punto di accesso per le informazioni delle prenotazioni, ma come ha fatto il malintenzionato a ottenere l'accesso alla piattaforma Figaro?
La prima ipotesi, cioè il coinvolgimento della mail della struttura in qualche data breach non ci ha portato a nessun risultato, perciò continuiamo le nostre analisi ricercando tutti gli accessi possibili alle piattaforme di gestione delle prenotazioni dalla postazione di lavoro di back-office.
Subito notiamo la presenza di credenziali salvate sul browser per diverse decine di servizi, tra cui Figaro.
Considerando l’accesso notturno alla postazione di lavoro e la presenza di credenziali salvate sul browser, l’analisi è proceduta cercando prove dell’accesso ed eventuale esfiltrazione di dati e… nella posta eliminata troviamo una mail inviata a un indirizzo privato GMail che non riporta alcun oggetto né testo, ma contiene un allegato: credenziali.csv
.
Dal contenuto del file risulta evidente si tratti di un file di export delle credenziali dal browser. Inoltre, la mail risulta inviata alle 03:25 del mattino, lo stesso giorno in cui il portiere ha segnalato l’accesso notturno.
Ulteriori approfondimenti
Investigando sulla mail utilizzata dall’attaccante per esfiltrare le credenziali, è stato trovato un riscontro tramite Google sul sito di un'altra struttura alberghiera della zona.
Aprendo il sito dell’hotel la mail non compare più, ma utilizzando la copia cache di Google è stato possibile vedere la versione precedente del sito in cui si può chiaramente vedere in prima pagina la mail utilizzata nell'attacco.
Dopo aver escluso che si potesse trattare di concorrenza sleale, abbiamo continuato le analisi e abbiamo scoperto che il sito web dell’hotel è stato realizzato con un servizio di una società del quale esistono online credenziali in chiaro di dipendenti.
Si può supporre quindi che il malintenzionato abbia utilizzato queste credenziali per accedere al pannello di gestione del sito dell’hotel per inserire la sua mail e portare i clienti a contattare lui al posto della struttura legittima.
Ricostruzione dell'attacco
Sulla base delle evidenze raccolte è possibile fare le seguenti assunzioni su come si sia svolto l’attacco e la conseguente truffa ai danni dei clienti della struttura:
- È stato richiesto dalla struttura un intervento di assistenza remota sulla postazione di lavoro di back-office tramite il software Team Viewer;
- Durante l'intervento di assistenza l’operatore, senza l’autorizzazione della struttura, ha configurato Team Viewer per permettere l'accesso remoto senza necessità di conferma;
- Il malintenzionato ha effettuato un accesso remoto non autorizzato la notte del 23/12/2022;
- L'accesso remoto gli ha permesso di ottenere, tra le altre, le credenziali di accesso del sistema "Figaro" salvate nel browser ed esfiltrate via mail.
- Il malintenzionato ha effettuato l'accesso alla piattaforma "Figaro" e ha cambiato le credenziali di accesso.
- Il malintenzionato ha chiamato la struttura per avere conferma del fatto che i dati presenti sulla piattaforma fossero corretti e aggiornati rispetto a quelli della piattaforma "Hotel in Cloud".
- Il malintenzionato ha cominciato a ricevere le prenotazioni dei clienti della struttura e a utilizzare questi dati per contattare gli ospiti su WhatsApp tramite il numero di telefono specificato nella prenotazione.
Conclusioni
In seguito a sole 12 ore di investigazione sui PC dell'hotel siamo riusciti a identificare l'origine del problema e una soluzione efficace e celere per risolvere un problema che affliggeva l'hotel e i suoi clienti da circa 2 mesi.
I team di supporto tecnico di Team System e Figaro sono stati informati dei risultati delle analisi svolte da Unlock Security e hanno prontamente proceduto ad applicare le azioni correttive suggerite disabilitando l'account sulla piattaforma Figaro.
La struttura alberghiera è stata informata degli obblighi di legge derivanti dal GDPR (art. 33 e 34) in caso di subìto accesso abusivo a sistema informatico o informativo (art. 615 ter c.p.).
Inoltre, a valle dell'incidente stanno predisponendo le corrette misure di sicurezza per tutte le postazioni di lavoro, e la formazione del personale per minimizzare i rischi futuri.