Cómo los ciberdelincuentes abusan de la industria de viajes y hotelería

La industria de viajes y hotelería sufre miles de millones de pérdidas cada año debido a fraude.

 

“Con la combinación adecuada de otros servicios ilícitos (cuentas comprometidas, tarjetas de crédito, etc.) es posible cubrir casi todos los aspectos de las fiestas, incluidos los restaurantes y comidas, compras, entretenimiento, visitas guiadas y mucho más, mucho más allá de vuelos y hoteles. “, Dijo Vladimir Kropotov, investigador de Trend Micro, a Help Net Security.

 

 

¿Qué hay en oferta?

 

Kropotov y sus colegas han estado revisando los mercados y foros oscuros de la web china y rusa, los canales de Telegram y algunos foros en inglés, y han encontrado un mercado próspero.

Los ciberdelincuentes están ofreciendo servicios pagados con tarjetas de crédito robadas, cuentas del programa de lealtad pirateadas y canjes fraudulentos de regalos, descuentos y reembolsos en forma de cupones.

Ofrecen documentos de viaje falsos, vuelos baratos, taxis y viajes en automóvil compartido, alojamiento en hoteles, boletos de viaje, tarjetas de regalo para restaurantes y más.

Para la mayoría de estos servicios, los clientes proporcionan un enlace a un hotel o un vuelo al proveedor de servicios ilícitos y obtienen una reserva con un descuento del 30 al 70 por ciento.

 

“Esto esencialmente está engañando al hotel y a la aerolínea con la tarifa completa de los servicios, y también es la forma en que las personas se permiten más destinos de lujo”, señaló Kropotov.

 

hosp_27726154

Proveedores de servicios ilícitos

 

Algunas ‘agencias’ que ofrecen estos servicios han existido desde 2015 y todavía operan con comentarios muy positivos en los foros.

La disponibilidad de estos servicios es bastante alta, con algunas “agencias de viajes” que ofrecen soporte las 24 horas, y a menudo ofrecen soporte en vivo durante el viaje ya que los boletos se pueden cancelar justo antes del registro o embarque debido a mecanismos de prevención de fraude que marcan transacciones sospechosas.

Es interesante observar que muchos de estos proveedores de servicios ilícitos prefieren no trabajar en países donde están físicamente ubicados.

 

“Si observas los foros clandestinos de habla rusa, más del 50 por ciento de los proveedores declinan vender servicios dentro del territorio de la antigua Unión Soviética”, dice. “Y a veces esta limitación también funciona para los países vecinos”.

Se insta a los clientes satisfechos a publicar fotografías de sus viajes exitosos como prueba de que los servicios que se les venden no son una farsa.

Aun así, algunos que utilizan estos servicios de viaje baratos terminan con problemas. Kropotov dice que muchas personas han hecho publicaciones afirmando que sus boletos u hoteles han sido cancelados, lo que les exige pagar por el viaje nuevamente.

 

 

El modus operandi de los defraudadores

 

¿Cómo logran estos delincuentes satisfacer la demanda de vuelos baratos y estadías en hoteles? Ellos explotan los puntos más débiles.

Aprovechan el factor humano falible. Por ejemplo, engañan a los usuarios para que les entreguen información de tarjetas de crédito o contraseñas para programas de lealtad.

O se infiltran en las empresas y buscan prácticas vulnerables, sistemas susceptibles o lagunas operacionales; luego alteran partes de los procesos de las organizaciones para beneficiarlos.

 

“Lo más interesante que descubrimos es cómo los estafadores combinan estos componentes simples para engañar a un sistema de prevención de fraude. Algunas discusiones en el foro sobre cómo usar tarjetas de crédito robadas y sistemas de pago señalan la importancia de “calentar la cuenta”, lo que significa hacer compras más pequeñas que se alineen con el perfil para “calibrar” con el sistema antifraude antes de realizar una transacción importante.” él explica.

 

Kropotov y sus colegas tienen programado presentar los resultados de su investigación en la conferencia Hack in the Box en Amsterdam este abril.

Traducido de:

https://www.helpnetsecurity.com/2018/01/25/cybercrime-travel-industry/

Advertisements

Un troyano Android tiene un minero tan agresivo que puede afectar tu batería.

 

Traducido de:

https://www.theregister.co.uk/2017/12/19/android_trojan_has_miner_so_aggressive_it_can_bork_your_battery/

Los investigadores de Kaspersky han descubierto una cepa de malware que acecha en el contenido para adultos y en los escáneres de virus falsos, y puede hacer funcionar al mob de Android de la víctima con tanta fuerza que podrían sufrir daños físicos.

 

El troyano Android, apodado “Loapi”, tiene una arquitectura modular que le permite adaptarse para ejecutar criptomonedas mineras, participar en redes DDoS o bombardear a usuarios que sufren con anuncios constantes.

 

La muestra analizada por Nikita Buchka, Anton Kivva y Dmitry Galov de Kaspersky, cuando se ejecutaban unos pocos días para extraer la criptomoneda Minero, trabajó su dispositivo de prueba con tanta fuerza que “la batería se combó y deformó la cubierta del teléfono”.

 

Loapi se comunica con los siguientes servidores de control y comando específicos del módulo:

 

ronesio.xyz (módulo publicitario);

api-profit.com:5210 (módulo SMS y módulo de minería de datos);

mnfioew.info (rastreador web); y

mp-app.info (módulo proxy)

El módulo de rastreador web, Kaspersky dijo, “se usa para la ejecución oculta de código JavaScript en páginas web con facturación WAP para suscribir al usuario a varios servicios”, y funciona en conjunto con el módulo SMS para enviar el mensaje de suscripción.

Al trabajar con el módulo de anuncios, el rastreador web “intentó abrir aproximadamente 28,000 URL exclusivas en un dispositivo durante nuestro experimento de 24 horas”.

 

 

Adups recibe un redux

 

La gente de Malwarebytes ha tenido su propio hallazgo de la semana: la empresa con sede en China que hace un año envió el firmware de recolección de datos, Shanghai Adups Technology, está enviando un auto instalador denominado “Android / PUP.Riskware”. Autoins.Fota “.

 

Cuando el ruido sobre Adups disminuyó, Nathan Collier escribió, había un componente que Malwarebytes pasó por alto: “Viene con los nombres de los paquetes com.adups.fota.sysoper y com.fw.upgrade.sysoper, aparece en la lista de aplicaciones como UpgradeSys, y tiene el nombre de archivo FWUpgradeProvider.apk “.

 

Al igual que el trabajo previo de Adups, el instalador obtiene privilegios de administrador porque está preinstalado en el dispositivo; y si bien por sí solo no es malicioso, podría utilizarse para extraer otro software peligroso.

 

Malwarebytes proporciona instrucciones para deshabilitar el instalador, utilizando la herramienta Debloater.