Jedziesz na urlop? Uważaj, tak podszywają się pod prawdziwe hotele

Cyberprzestępcy kradną dane logowania do kont w serwisie booking.com i podszywają się pod prawdziwe lokale. CSIRT KNF ostrzega przed tego rodzaju oszustwem, które może wiązać się z dużymi stratami finansowymi.

Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego polskiego sektora finansowego ostrzega przed powracającym oszustwem z wykorzystaniem platformy booking.com. W tym przypadku ofiarami są zarówno właściciele lokali na wynajem, jak i klienci, którzy chcą zarezerwować pokój.

Wynika to z faktu, że cyberprzestępcy wykradają dane logowania do kont pracowników i właścicieli hoteli do serwisu booking.com. Następnym krokiem jest utrzymanie kontaktu z klientem. Oszust wysyła do niego wiadomość z linkiem do strony phishingowej. Jak przekazuje CSIRT KNF, technika ta jest szczególnie niebezpieczna, bo korzysta z zaufania użytkowników do oficjalnej aplikacji.

Dalsza część artykułu pod materiałem wideo

Cel oszustów przeważnie jest jeden – chodzi o kradzież danych karty płatniczej od klienta. Po otwarciu linku w wiadomości ofiara przekierowywana jest na fałszywą stronę, która do złudzenia przypomina autentyczną stronę serwisu booking.com. Oszuści proszą pod pretekstem rezerwacji lub opłacenia hotelu o podanie danych karty płatniczej. W praktyce oznacza to, że z karty korzystać mogą oszuści, wykorzystując ją do nieautoryzowanych transakcji.

Cyberprzestępcy dane logowania do kont w serwisie booking.com pozyskują prawdopodobnie przy wykorzystaniu tzw. stealerów. Jest to oprogramowanie stworzone z myślą o kradzieży danych uwierzytelniających. Atakujący wysyłają do ofiar zainfekowane wiadomości, w których ukryte jest tego rodzaju oprogramowanie. Po przejęciu konta cyberprzestępcy uzyskują szerokie możliwości zarządzania hotelem w serwisie booking.com.

Zainstalowany na komputerze stealer działa w ukryciu. Zbiera ważne pod kątem cyberbezpieczeństwa dane, takie jak hasła, loginy, informacje o kartach kredytowych i inne poufne informacje.

CSIRT KNF przypuszcza, że w przypadku oszustw na platformie booking.com mamy do czynienia z dobrze zorganizowanymi cyberprzestępcami. Ich działalność obejmuje tworzenie i rozsyłanie stealera, a także wdrażanie złożonych schematów phishingowych, których celem jest wyłudzenie poufnych informacji od użytkowników platformy.

Oszuści szukają w sieci współpracowników, którzy będą gotowi brać udział w tego rodzaju nielegalnych operacjach. Oferują co najmniej 100 tys. rubli miesięcznie, czyli ok. 1,1 tys. dolarów, a średnio 250 tys. rubli, czyli 2,8 tys. dolarów. Wykonawca ma zgarniać 70 proc. z oszustwa, zleceniodawca pobiera 30 proc. Sposób komunikacji cyberprzestępców wskazuje na to, że mamy do czynienia z dużą siecią złodziei.

CSIRT KNF zaznacza, że podobne metody wykorzystywano w atakach na użytkowników takich serwisów jak OLX, Vinted czy Allegro. Z obserwacji wynika, że ci sami przestępcy, którzy zajmowali się oszustami na platformach handlowych, teraz przenieśli swoje wysiłki na arenę międzynarodową, wybierając serwis Booking.com, jako cel swoich kampanii.

Klienci hoteli powinni dokładnie sprawdzać adresy stron, z których korzystają – należy upewnić się, że mamy do czynienia z autentycznym adresem strony booking.com, zanim podamy jakiekolwiek dane. Jeśli jednak mamy jakieś podejrzenia, najlepiej skonsultować się z obsługą klienta booking.com, korzystając z oficjalnej strony lub aplikacji. CSIRT KNF zaleca też, by nie spieszyć się, szczególnie w momencie dokonywania płatności.

Właściciele hoteli powinni z kolei skupić się na przeszkoleniu personelu z zakresu cyberbezpieczeństwa. Powinni oni być w stanie rozpoznawać różne rodzaje cyberzagrożeń, w tym phishing. Konieczne jest też ustawianie silnych haseł i korzystanie z uwierzytelniania dwuskładnikowego. Warto pamiętać o aktualizowaniu oprogramowania, a także o przyznawaniu odpowiednich dostępów do systemów rezerwacyjnych. Dodatkowe zabezpieczenie może stanowić wykonywanie kopii zapasowych danych, co pomoże wrócić do normalnego funkcjonowania po udanym ataku cyberprzestępców.