Golpe virtual tenta roubar cartão de crédito de clientes de hotel

"Bom dia, alguns de nossos advogados estarão em exercício na cidade e precisamos hospeda-los [sic] com segurança, conforto e sigilo, sendo assim optamos por esse hotel por ficar mais próximo de nossa auditoria."

A mensagem, enviada a partir de um suposto e-mail de um escritório de advocacia, foi o começo de um golpe aplicado contra um hotel. O objetivo era roubar os dados de cartão de crédito dos hóspedes. Para especialista, a estratégia chama a atenção pela sofisticação no contato com as vítimas.

O ataque já afetou mais de 20 empresas do ramo no Brasil, além de outras na América Latina, na Europa e na Ásia, segundo a Kaspersky, empresa de cibersegurança que identificou o problema.

Não há um padrão de perfil das vítimas; os alvos incluem tanto grandes redes quanto pequenas operações. Há indícios de que a campanha tenha partido de brasileiros.

Tudo começa com os cibercriminosos enviando mensagens eletrônicas se passando por pessoas de organizações legítimas, usando uma técnica chamada "typosquatting", e pedindo uma reserva no hotel.

O typosquatting consiste em criar um email com o nome de uma empresa, mas com uma letra ou outra trocadas para tentar ludibriar alguém menos atento -usariam "[email protected]", em vez de "[email protected]", por exemplo.

"O que chama a atenção é que esse contato é muito bem feito. Alguns são muito difíceis identificar que se trata de golpe", diz Thiago Marques, pesquisador da Kaspersky.

"Usavam documentos oficiais das empresas tentando se passar por elas, até geraram um estado de CNPJ no site da receita para um caso. Em alguns, incluíam detalhes como pedidos por cama de casal ou para deixar o frigobar vazio."

No texto, os criminosos justificam e descrevem a necessidade da reserva, e induzem a vítima a abrir documentos do Word ou do Excel enviados em anexo. Quando abertos, esses arquivos instalam um trojan de acesso remoto, um tipo de programa malicioso, capaz de roubar dados do sistema de administração da empresa.

Os trojans de acesso remoto permitem controlar a máquina infectada a distância e são difíceis de serem detectados. Esse, focado em sistemas de hotelaria, fica escondido no computador e é ativado quando são abertas telas que permitem visualizar os dados de cartão, como quando a empresa vai imprimir a confirmação da reserva.

A falha que permite instalar um vírus por meio de Word e Excel foi corrigida em 2017, mas ainda pode ser explorada em máquinas com esses programas desatualizados. Por isso, é importante instalar as atualizações de segurança para se proteger, além de tomar cuidado ao clicar em anexos de email.

De acordo com a Kaspersky, pelo menos dois grupos de cibercriminosos foram identificados como parte dos ataques, "RevengeHotels" e "ProCC", que operam isoladamente. O uso de português, inclusive nos códigos dos programas maliciosos, indica que sejam brasileiros.

"O 'Revenge' focava no Brasil, mas parece que faz parte de uma operação maior, porque vimos ataques parecidos com os deles em outros países. Ou pode ser que tenham comprado o kit de ferramentas usadas para o golpe e estejam reutilizando [um mesmo ataque que também é visto em outros países]", diz Marques. "O 'ProCC' é bem Brasil, mas atacava muitos hotéis de fora também."

A empresa diz que todas as vítimas já foram notificadas ou estão em processo de notificação.