Hola a todos, desde CronUp queremos dejar una alerta de seguridad, ya que en estos días hemos conocido varios casos de fraude con tarjetas de crédito, luego de haber sido utilizadas unicamente en booking.com
Los antecedentes:
- 5 personas hacen reservas por separado, ingresando los datos de sus tarjetas de crédito en el sitio web, a distintos destinos y distintos hoteles/cabañas (estos son los casos conocidos por nosotros).
- A todos se les hacen cobros en las tarjetas de crédito utilizadas al día siguiente (máximo dos), incluyen compras/pagos en el extranjero.
- Las reservas fueron realizadas entre el 11 y el 28 de Enero 2019, todas.
- Booking envía correos con el asunto: «Hemos bloqueado tu cuenta de booking.com por motivos de seguridad».
Creemos que la fuga de información podría venir desde una filtración de cuentas de usuarios de Booking o de un ataque de tipo web skimmer como lo que hace el grupo Magecart.
Pero primero: ¿Que es Magecart?
Para entender que es el grupo Magecart, la técnica que utilizan y como fue el último ataque realizado este 2019, les dejo la noticia: https://unaaldia.hispasec.com/2019/01/magecart-infecta-de-nuevo-cientos-de-webs-de-comercio-electronico.html
Normalmente el grupo Magecart cuando compromete un sitio web de comercio electrónico, inserta código malicioso después para capturar la información del pago realizado. Así es como en el pasado lograron acceder a la información bancaria de los clientes de las plataformas Ticketmaster, British Airways y Newegg.
Sin embargo, investigadores de RiskQ y Trend Micro descubrieron cómo esta vez, en lugar de comprometer directamente webs de comercio electrónico, insertaron código JavaScript en una librería alojada en una compañía de publicidad francesa llamada Adverline. Lo que permitió interceptar la información de pago de todos los sitios web que usaban esta librería.
Hacemos una revisión sobre el sitio web primero para comprobar que no existe un IOC conocido de Magecart en las 121 conexiones que realiza la web (incluidos sitios de terceros) una vez que se ingresa. Los resultados automatizados pueden verse en: https://urlscan.io/result/3194b237-271a-4928-9275-e912e53b8420#summary.

Independiente de la reputación que puedan tener esas IP’s (algunas son informadas como Maliciosas) no se evidencia la inclusión de los script conocidos de Magecart en los archivos que utiliza el sitio.
Se hacen pruebas manuales y revisión del flujo al momento de generar/anular una reserva y cuando se ingresan o modifican los datos de una tarjeta almacenada en la cuenta. Tampoco es posible comprobar la inyección de código.
Se debe considerar, que la nueva generación de este ataque es capaz de borrar logs y eliminarse automáticamente de los sitios web para evadir la detección. También aumentan la complejidad de ofuscación de su código en cada ataque.
La otra teoría
También es posible, que un grupo de ciberdelincuentes haya logrado capturar múltiples cuentas de usuarios (vulnerabilidad, fuerza bruta, filtración, etc) y este haciendo uso de los datos de las tarjeta para realizar fraude a través de compras o pagos en linea.
Cabe recordar además que existe un panel de acceso para los partners (hoteles) desde donde se pueden visualizar las reservas y los datos de las tarjetas de créditos, también podría ser el punto de la fuga:
Recomendaciones de seguridad
Con el afán de que no te veas afectado sugerimos:
- Si tienes cuenta en Booking.com, modifica tu clave de acceso a la brevedad.
- Si tienes una tarjeta de crédito guardada, eliminala del sitio y por precaución realiza el bloqueo con tu Banco.
- Si reservaste en estos días revisa tu estado de cuenta por si tienes cobros desconocidos en tu tarjeta y toma precauciones.
- Trata siempre de ocupar las opciones de seguridad que te entrega tu Banco, para las operaciones con tu Tarjeta.
Esta es una investigación en desarrollo, pero consideramos nuestro deber compartir la información a la comunidad para que no sean víctimas de este incidente.
Esperamos se haga un comunicado oficial por parte de Booking, con los cuales hemos tomado contacto para informar los hechos y obtener más antecedentes.
Este articulo será actualizado con la llegada de nueva información,
Saludos.