Kimlik Avı Kampanyası Kıskacındaki Booking.com

selen guvenc

Ekim 11, 2023

1535

Booking.com kullanıcıları yeni bir kimlik avı kampanyasının hedefi oluyor. Saldırganlar konaklama sektörünü tehlikeye atmak için InfoStealer kötü amaçlı yazılımını kullanıyor.

Perception Point tarafından tespit edilen ve Akamai tarafından rapor edilen yeni bir kimlik avı kampanyası, Booking.com kullanıcılarını hedef alıyor ve tehdit aktörlerinin maaş günü için ne kadar ileri gidebileceğinin en iyi örneğini oluşturuyor. Bu saldırı, tehdit aktörlerinin konukların rezervasyon bilgilerine erişmek ve sonraki kampanyalarda onlara saldırmak için InfoStealer kötü amaçlı yazılımını ele geçiren otellerden yararlanması nedeniyle konaklama sektörünün bir bütün olarak 2023'te karşı karşıya kaldığı endişe verici tehdit seviyelerinin bir örneğini oluşturuyor .

Yapılan sahtekarlığın adımları ise şu şekilde;

1. İhlal ve Devralma: Kampanya, tehdit aktörlerinin otel sistemlerini ihlal etmesi ve ardından otelin Booking.com'daki resmi hesabının kontrolünü ele geçirmesiyle başlıyor.

2. Misafir Listesi Hack'i: Kötü niyetli aktörler, ellerindeki resmi Booking.com hesabıyla hassas müşteri verilerine erişir: tam adlar, rezervasyon tarihleri, otel ayrıntıları ve platformda rezervasyon yapmak için kullanılan kısmi ödeme yöntemleri. Bu veriler, ortaya çıkan saldırıların temelini oluşturur.

3. Rezervasyon Hilesi: Saldırganlar, toplanan verileri kullanarak kişiselleştirilmiş mesajlar oluşturur. Bu mesajlar, aciliyet duygusu yaratmak için sosyal mühendislik teknikleri kullanılarak hassasiyetle tasarlanmıştır. Mağdurlara, bir doğrulama "testi" olarak kredi kartı bilgilerini tekrar vermeleri gerektiği ve uymamaları halinde rezervasyonlarının 24 saat içinde iptal edilme tehdidinin yaklaştığı bildiriliyor.

4. Lobi Tuzağına Bağlantı Verme: Saldırganların konuklara Booking.com platformu aracılığıyla ve ayrıca Booking.com'dan e-posta yoluyla gönderdiği mesaj, kurbanları, Booking.com'un arayüzünü yansıtan, titizlikle hazırlanmış bir kimlik avı sayfasına yönlendiren bir bağlantı içerir. Bu sayfa, mağdurun tam adı, kalış süresi ve otel bilgileri de dahil olmak üzere kişisel ayrıntılarıyla önceden doldurulmuştur. Daha fazla yanıltma amacıyla tasarlanan URL şu modeli izler: 'booking.id(numbers).com' veya 'booking.reserve-visit.com'.

Tehdit aktörleri, hedeflerin rezervasyon yaptırmak için kullandıkları orijinal ödeme yöntemi hakkında kısmi bilgiye sahip olduğundan, mesajda bunun tam olarak belirtilmesi (örneğin Mastercard kartı) istenmektedir.

Son Tuzak – Mali Ayrıntıların Toplanması: Kimlik avı sayfasına girdikten sonra kurbanlardan kredi kartı veya banka bilgilerini yeniden girmeleri istenir. Kendilerinin bilmediği bu veriler doğrudan saldırganlar tarafından toplanıyor ve potansiyel mali dolandırıcılığın önünü açıyor.

Booking.com Aracılığıyla Kimlik Avı Gezisi

Bu kimlik avı kampanyasının en endişe verici yönlerinden biri dağıtım yöntemidir. Kimlik avı bağlantıları, müşterinin ne kullandığına bağlı olarak, ister site ister uygulama olsun, doğrudan Booking.com platformu aracılığıyla gönderilir. Bu sahte bir e-posta veya şüpheli bir SMS (diğer adıyla Smishing ) durumu değildir ; bu mesajlar kullanıcıların güvendiği platformdan geliyor. Bu kötü niyetli mesajların kaynağı? Daha önce ele geçirilen meşru otel hesapları. Bu, ekstra bir özgünlük katmanı ekleyerek kimlik avı girişimini daha da ikna edici hale getirir.

Ayna Görüntüsü: Süper İkna Edici Kimlik Avı Sayfası

Kurbanlar, bağlantıya tıkladıklarında Booking.com'dan beklenebileceklerin tam bir kopyası olan bir kimlik avı sayfasına yönlendiriliyor. Ancak aldatıcı olan yalnızca tasarım değildir; ayrıntılardır. Sayfa, kurbana özel olarak hazırlanmış belirli bilgilerle önceden enjekte edilmiş olarak geliyor: adı, rezervasyon yaptığı otel ve kalış tarihleri. Bu seviyedeki kişiselleştirme, mesajda iletilen aciliyetle birleştiğinde mükemmel bir etki yaratır. Rezervasyonun anında iptal edilmesi tehdidi, özellikle de planların çoğu kez kesin olarak belirlendiği durumlarda, mağdurların düşüncesizce hareket etmelerine ve kredi kartı bilgilerini ikinci kez düşünmeden vermelerine yol açabilir.

Küresel Etki: Milyonlarca Dolar Kaybolma Potansiyeli

Perception Point'in araştırması bunun münferit bir olaydan veya küçük ölçekli bir dolandırıcılıktan çok uzak olduğunu gösteriyor. Dünya çapında yüzlerce otel ve tatil köyünün bu ihlallerin kurbanı olduğunu tahmin ediyoruz.

Dalgalanma etkisi mi? Binlerce hedef, hatta daha fazlası. Kayıpların tam kapsamı açıklanmazken, ön değerlendirmeler tek bir kurbanın cebinden yüzlerce ila binlerce dolar arasında bir miktarda para çıkabileceğini gösteriyor. Mali sonuçları ciddi ancak güvenin ihlali ve kişisel verilerin potansiyel olarak kötüye kullanılması çok daha geniş kapsamlı sonuçlara yol açabilir.

Gelişmelerimizden haberdar olmak ve fırsatlarımızdan faydalanmak için; bültenimize abone olmayı ve bizi takip etmeyi unutmayın!

Mobildev Pazarlama Sohbetleri webinar serimiz, 19 Nisan Cuma günü gerçekleşecek olan "Dünya Markası Olmanın Tam Zamanı!" konulu on dördüncü webinarı ile devam ediyor.

selen guvenc Nisan 4

Verilerim işlenebilir Verilerim sözleşmede belirtilen kuruluşlar ile paylaşılabilir Verilerim yurt dışına aktarılabilir GSM Numaram üzerinden ticari ileti almak istiyorum E-posta adresim üzerinden ticari ileti almak istiyorum Ticari iletişim iznimin paylaşılmasını istiyorum

Aydınlatma Metninde belirtilen kapsam, amaç ve süre dahilinde kişisel verilerimin işlenmesini kabul ediyorum.

E-Bülten Aboneliği Aydınlatma Metni

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca Veri Sorumlusu sıfatıyla hareket eden İstanbul Ticaret Sicili nezdinde 538515 sicil numarası ile kayıtlı, 0622042115500019 Mersis numaralı, şirket merkezi Esentepe Mahallesi D-100 Güney Yanyol Cad. No:25 D:147-151 34870 Soğanlık Kartal İstanbul adresinde bulunan Mobildev İletişim Hizmetleri Sanayi ve Ticaret Anonim Şirketi (“MOBİLDEV”) olarak kişisel verilerinizin aşağıda belirtilen kapsam dahilinde kaydedileceği, saklanacağı, güncelleneceği, ilgili mevzuatın izin verdiği durumlarda 3. kişilere açıklanabileceği, aktarılabileceği, sınıflandırılabileceği ve ilgili mevzuatta belirtilen diğer usul ve esaslara uygun olarak işlenebileceği hususlarında sizleri bilgilendirmek isteriz. Şirketimiz kişisel verilerinizin hukuka uygun olarak geniş anlamda işlenmesi ve gizliliğin korunması amacıyla mümkün olan en üst seviyede gerekli idari ve güvenlik tedbirlerini almaktadır.

İşbu Aydınlatma Metninde Şirketimiz tarafından yayınlanacak bültenler için E-bülten aboneliği sürecine özgü Şirketimizin kişisel veri işleme süreçlerine ilişkin şahsınızın aydınlatılması amaçlanmıştır.

A. İŞLENEN KİŞİSEL VERİLER

İşbu Aydınlatma Metni’nde belirtilen amaçlar ve hukuki sebepler doğrultusunda aşağıda belirtilen kişisel verileriniz işlenecektir.

KİŞİSEL VERİ KATEGORİSİ	KİŞİSEL VERİLER
Kimlik Bilgileri	Ad Soyad
İletişim Bilgileri	İş E-Posta Adresi, Telefon Numarası

B. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI ve HUKUKİ SEBEBİ

Kişisel verilerinizi KVKK’ın 5’incı maddesi uyarınca aşağıda belirtilen işleme amaçları ve ilgili hukuki sebep dahilinde işlenecektir.

• E-Bülten gönderimi ve bilgilendirme,
Açık rızanız kapsamında bülten aboneliği formu aracılığıyla toplanan ad-soyad, cep telefonu ve e-posta bilgileriniz işlenecektir.

• İşlem güvenliğinin sağlanması,
Kanunlarda açıkça öngörülmesi şartıyla işlem güvenliği bilgileriniz (log kayıtlarınız) işlenecektir.

• Ticari iletişim,
Kişisel verileriniz Şirketimiz tarafından ayrıca; ürün/hizmetlerin ve davet/etkinliklerin duyurulması, müşteri memnuniyetine yönelik anket çalışmalarının yürütülmesi, etkinlik süreçlerinin iyileştirilmesi, tanıtım, reklam, promosyon, satış ve pazarlama yapılması amaçlarıyla; ilgili kanunlara uygun olarak açık rıza alınması sebebine veya açık rıza alınması zorunlu olmayan haller için KVKK’nın 5’inci maddesinin ikinci fıkrasının (f) düzenlemesi uyarınca “meşru menfaatimiz” kapsamında ticari elektronik ileti (SMS, Arama, E-posta) gönderilebilmesi için de işlenebilecektir.

C. KİŞİSEL VERİLERİNİZİN KİMLERE VE HANGİ AMAÇLA AKTARILABİLECEĞİ

Kişisel verilerinizi işbu Aydınlatma Metninde belirtilen amaçlar doğrultusunda ve KVKK'nın 8. ve 9. maddelerine uygun olarak

E-posta ve sms gönderimi için çalışılan hizmet sağlayıcılar,
Yurtiçinde yerleşik yetkili ve görevli özel veya kamu kurum ve kuruluşlar ile adli makamlara ve resmi kurum/kuruluşlara karşı olan bilgi, belge verme ve ilgili sair yükümlülüklerimizi yerine getirmek,
Dava ve cevap hakları gibi yasal haklarımızı kullanabilmek amacıyla bizden istenen bilgileri anılan bu kurum, kuruluş ve makamlara aktarmaktayız.

D. KİŞİSEL VERİLERİNİZİN TOPLANMA YÖNTEMİ

İşbu Aydınlatma Metninde belirtilen kişisel verileriniz internet sitemizdeki bülten aboneliği sekmesinin doldurulması suretiyle otomatik yollarla ve yazılı olarak toplanabilecektir.

E. KVKK KAPSAMINDAKİ HAKLARINIZ

Veri Sorumlusu sıfatıyla hareket eden MOBİLDEV tarafından verilerinizin işlendiği kapsam dahilinde Esentepe Mahallesi D-100 Güney Yanyol Cad. No:25 D:147-151 34870 Soğanlık Kartal, İstanbul adresine yazılı olarak bizzat veya posta yoluyla veya da “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”de belirtilen diğer usuller ile başvuruda bulunarak her zaman;

a) kişisel verilerinizin işlenip işlenmediğini öğrenme,
b) kişisel verilerinizin işlenme faaliyetlerine ilişkin olarak bilgi talep etme,
c) kişisel verilerinizin işlenme amaçlarını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) kişisel verilerinizin yurt içinde veya yurt dışında üçüncü kişilere aktarılmış olması durumunda bu kişileri öğrenme,
d) kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
e) kişisel verilerinizin işlenmesini gerektiren sebeplerin ortadan kalkması veya söz konusu verileri işleyebilmek için hukuki dayanağın veya meşru menfaatin bulunmaması halinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
f) kişisel verilerinizin aktarıldığı üçüncü kişilere (d) ve (e) bentlerinde belirtilen taleplerinizin bildirilmesini ve aynı işlemleri gerçekleştirmelerini isteme,
g) kişisel verilerinizin otomatik sistemler vasıtasıyla analiz edilmesi suretiyle ortaya çıkabilecek aleyhte sonuçlara itiraz etme,
ğ) kişisel verilerinizin kanuna aykırı bir şekilde işlenmesi sebebiyle zarara uğramanız halinde bu zararın tazmin edilmesini talep etme hakkına sahipsiniz.

Başvurunuzda;

Ad, soyad ve başvuru yazılı ise elle atılmış imza,
Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
Tebligata esas yerleşim yeri veya iş yeri adresi,
Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
Talep konusu,

yer almalı ve konuya ilişkin bilgi ve belgeler de başvuruya eklenmelidir.

Bu amaçlarla yaptığınız başvurunun ek bir maliyet gerektirmesi durumunda, Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifedeki ücret tutarını ödemeniz gerekebilir. Başvurunuzda yer alan talepleriniz, talebin niteliğine göre en kısa sürede ve en geç başvurunuz ulaştıktan sonra 30 (otuz) gün içinde sonuçlandırılacaktır.

KVKK ve ilgili mevzuat kapsamındaki haklarınız hakkında detaylı bilgi almak için Kişisel Verileri Koruma Kurumu’nun internet sayfasını (https://www.kvkk.gov.tr/) ziyaret edebilirsiniz.

Aydınlatma Metni Metnine uygun olarak elektronik ticari ileti almayı kabul ediyorum.

Kimlik Avı Kampanyası Kıskacındaki Booking.com

selen guvenc

Booking.com Aracılığıyla Kimlik Avı Gezisi

Ayna Görüntüsü: Süper İkna Edici Kimlik Avı Sayfası

Küresel Etki: Milyonlarca Dolar Kaybolma Potansiyeli

İlgili İçerik

2024'te Dijital Reklamcılıkta Yeni Yönelimler: Programatik Reklamın Geleceği

Acil Durumlarda Hızla Koordine Olun!

Google İzin Modu V2: Barış Gürbüzler'den Tavsiyeler

QR Kodlu Kimlik Avı Saldırıları: Tehdit Aktörleri Artık Sizden Online Alışveriş Yapıyor

İşletmeler 2024'te Riskleri Nasıl Azaltabilir ve Uyumluluğu Nasıl Koruyabilir?