Booking.com adatlopás adathalász üzenet

Így lopják el a vendégek kártyaadatait a Booking.com rendszerén keresztül

by Kassay Tamás

A kifizetési, tartozási botrány nem érinti az utazókat, az adatlopások ügye viszont igen. Olvasónk ma küldött szerkesztőségünknek egy példát egy konkrét adatlopási kísérletről, aminek vége jellemzően a bankkártya adatok ellopása és a pénz megcsapolása szokott lenni.

Adatlopás a Booking rendszerén keresztül

Hasonló esetekről rengeteg cikket lehet találni az interneten, nagyjából a világ összes nyelvén, itthon Utazómajom is írt már róla, ez a mostani egy újabb valós, konkrét, megtörtént eset.

Olvasónk a Booking.com oldalán foglalta le a szállását. A Booking alkalmazásán belül, a szállás nevében kapott egy üzenetet, amely így szól (a fordítást nem művi minőségben végeztem, csak az érthetőség kedvéért áll itt magyarul, a rendszerben angolul kapta meg!):

Booking adatlopás adathalász üzenet

Üdvözlöm tisztelt látogató! A foglalási csapatunk arról értesített minket, hogy Önnek át kell esnie egy kártyaellenőrzési folyamaton, annak ellenére, hogy Ön már befizette a foglalást. Gyanús tevékenységet észleltünk a számláján, ezért a foglalás összegét megterheljük a kártyájáról, majd gyorsan visszatérítjük. Tisztelettel tájékoztatjuk, hogy ez nem fizetési tranzakció, hanem a Booking által végzett bankkártya-hitelesítés. Kérjük, használja az e-mailben megadott közvetlen linket az ellenőrzés elvégzéséhez és a foglalás megerősítéséhez. A foglalás megerősítésére 24 óra áll rendelkezésére; ennek elmulasztása a foglalás törlését vonja maga után. [Itt áll a fertőzött link.] Tisztelt Látogató, ha a kártyaellenőrzés nem sikerül 2 órán belül, akkor a foglalás törlésére vonatkozó kérést küldünk Önnek.

Jópofák, hogy nyomást helyeznek az utazóra azzal, hogy kilátásba helyezik a szállás törlését, ha 24 órán belül nem végzi el a kamu hitelkártya hitelesítést, és fokozzák még azzal, hogy egy 2 órás említést is tesznek. Nyilván azonnal megijed mindenki és elkezd meggondolatlanul cselekedni.

Soha ne add ki a bankkártya adataidat, jelszavaidat, semmit egy linkre kattintás után!

Aki ezen a linken megadta az adatait, elbúcsúzhatott a pénzétől rövid időn belül.

Hogyan lehetséges, hogy a Booking saját rendszerében, a szállásadótól érkeznek phishing üzenetek?

Bármennyi problémát is írtam mostanában a Booking háza tájékáról, a helyzet az, hogy ezekben az adatlopásos, bankkártya megcsapolásos ügyekben egyelőre nem jelenthetjük ki azt, hogy a Booking rendszere az, amit feltörtek/feltörnek.

A szállásadók partner fiókját törték fel, pontosan ugyanilyen trükkös levéllel. Megszerezték a belépési adataikat és a tudtuk nélkül, észrevétlenül garázdálkodnak a feltört szállásadók szállásadói fiókjaiban.

  1. Egyrészt látják a vendégeik adatait, ami önmagában is visszás és a GDPR szerint ez adatszivárgásnak számít, amit 72 órán belül jelenteni kellene az Adatvédelmi Hatóságnak, ennek elmulasztása komoly bírságokat von maga után!
  2. Másrészt a szállásadó extranetes postafiókjából küldenek el belsős üzeneteket a vendégek számára, így támadva őket.

Így lehetne kivédeni a Booking.com oldalán az adatlopásokat

A felelősség vitatható. Egyrészt felelősek az érintett szállásadók, mert nem körültekintően jártak el és a felhasználói fiókjukhoz hozzáférést engedtek illetéktelenek számára, de:

A Booking rendszerében technikailag működik a 2FA és MFA, azaz kétfaktoros hitelesítés, avagy a többfaktoros hitelesítés is, sőt kötelező is ennek használata! Jelen állás szerint kérdéses, hogy ilyen módon hogyan tudnak a szállásadók nevében üzenetet küldeni a bűnözők. Bizonyára a Booking biztonsági csapata részéről lehet és kell tenni olyan lépéseket, amelyek ezt a lehetőséget megakadályozzák.

Harmadik felelős pedig saját maga az áldozat és most óvatosan fogalmazok, véletlenül sem szeretnék áldozatot hibáztatni. Nem feltétlenül könnyű felismerni egy adatlopási helyzetet, ha könnyű lenne, akkor nem történnének meg tömegesen, de azért vannak árulkodó jelek. Ezeket a jeleket ismernünk kell és ahogyan bezárjuk az autónkat, vagy a lakásunkat kulcsra, ugyanígy fontos az online térben is, hogy a minimális óvintézkedéseket megtegyük, ha már rajtunk kívül álló okokból a többi érintett szereplő elkövette a mulasztást a saját térfelén. Mi a végén még meg tudjuk akadályozni, hogy meglopjanak.

Mi a teendő, ha adathalász üzenetet kapsz a Booking rendszerében?

Azonnal jelezd a szállásadó számára, hogy milyen üzenetet kaptál, mi áll benne! Lehetőleg ne csak a Booking rendszerében, hanem hívd fel telefonon, vagy küldj neki e-mailt. Miért? Azért, mert ha írni tudnak neked a hekkerek, akkor olvasni is tudják a fiókot, és ki fogják törölni az üzenetedet, mielőtt a szállásadó saját maga láthatná. A rutinosak pedig meg is válaszolják, hogy nyugodtan megadhatod az adataidat, tényleg ők kérik.

Ha jelezted az adathalász kísérletet a szállásadónak, akkor tedd meg a Booking felé is! És semmiképp ne kattints a linkre, ha pedig rákattintottál, akkor semmilyen adatodat ne add ki!

Fontos, hogy a szállásadó egy ilyen jelzés után azonnal változtassa meg a jelszavát!

Alapvetően javaslom minden szállásadónak, hogy akár most e cikk olvasása után is, akár érzékelt támadási kísérletet, akár nem, változtasson jelszót, hiszen lehet, hogy hónapokkal ezelőtt, vagy még korábban már megszerezték az adataikat, csak még nem használták fel. Mindenki a saját vendégeit fogja megóvni ezzel.

Adatvédelmi tájékoztatónkban megtalálod, hogyan gondoskodunk adataid védelméről. Oldalainkon HTTP-sütiket használunk a jobb működésért. Elfogadom Bővebben