Az üzenet, amit kaptam nagyon meggyőző volt. A WhatsApp alkalmazásban, névvel és fényképpel együtt érkezett, közvetlenül azután, hogy néhányszor üzenetet váltottam a valódi szállásadóval a Booking.com-on. A „vendégkapcsolati menedzser” pontosan tudta, hová és mikor utazom, valamint mikor foglaltam le a szállást. Megnyugtatott, hogy minden rendben van a foglalással, csak meg kell erősítenem, hogy a bankkártyaadataimat nem lopták el – állítólag a Booking.com rendszere jelezte nekik, hogy felmerült ez a lehetőség.
Csak egy gyors kattintás a linkre, hogy megerősítsem az adataimat, és már utazhatok is a tervek szerint – ígérték. Egy kollégám figyelmeztetése miatt lefényképeztem az üzeneteket, és letiltottam a fiókot, majd ugyanígy jártam el a „lakások főadminisztrátora” esetében is, aki később már a „kolléganője nevében” keresett meg.
A kollégám figyelmeztetése miatt sikerült elkerülnöm a csalást, de sok kérdés maradt bennem. Honnan szerezték meg az adataimat? Mennyit loptak volna el, ha rákattintok a linkre? Hány másik embert céloznak meg ezzel a módszerrel? – derül ki a szakértő Mirrorban megjelent beszámolójából.
Az első kérdésre a választ néhány nappal később kaptam meg, miután elmagyaráztam a Booking.com ügyfélszolgálatának, mi történt. Az ügyfélszolgálati képviselő elnézést kért, majd a szállásadót okolta a biztonsági résért, mondván: valószínűleg a weboldalukat fertőzte meg egy rosszindulatú program, és így kerülhettek a hackerek kezébe az adataim.
Ez komoly problémát jelent az olyan weboldalak esetében, mint a Booking.com, mivel harmadik fél weboldalaira is irányítják az ügyfeleket. Ezeket gyakran olyan panziótulajdonosok vagy kiadó lakástulajdonosok üzemeltetik, akik csak egy ingatlannal rendelkeznek, és nyilvánvalóan nincsenek olyan kiberbiztonsági erőforrásaik, mint egy nagy utazási vállalatnak.
A biztonsági problémát potenciálisan súlyosbítja az is, hogy kevesebb mint 15 perc alatt létre lehet hozni egy szállásadó-profilt a Booking.com-on, és ehhez nem kell útlevelet vagy hivatalos személyazonosító okmányt bemutatni.
Riasztóak a számok
A második és harmadik kérdés – vagyis a csalók által ellopott összegek és az áldozatok száma – esetében kimondottan magasak a számok. A csalássorozat már évek óta zajlik, és csak az Egyesült Királyság „Action Fraud” szervezetéhez 532 bejelentés érkezett egyénektől. Ezek az emberek összesen 370 000 fontot veszítettek 2023. június és 2024. szeptember között, és itt kizárólag az Egyesült Királyságról beszélünk. Felmerül a kérdés, hogy az adataikhoz fűződő jogaikat is megsértették-e. Néhány évvel ezelőtt a Booking.com-ra 475 000 eurós bírságot szabtak ki, amiért nem tettek megfelelő lépéseket egy GDPR-sértés után.
Úgy tűnik, a probléma egyre csak súlyosbodik. Tavaly júniusban a Booking.com elismerte, hogy az elmúlt 18 hónapban 500 és 900 százalék közötti növekedést tapasztaltak az utazási piacon elkövetett csalások számában.
2023-ban Dr. Leigh Jones, az Oxfordi Egyetem egyik kutatója a sajtóban beszélt arról, hogyan veszített el több mint 1000 fontot a csalók miatt, miután több szállodai szobát foglalt a családjának a vietnámi esküvője előtt.
Ez egy igazán kifinomult adathalász-csalás volt. Ezután biztos, hogy nem fogok többé a Booking.com-on foglalni. Miért nincs semmiféle figyelmeztetés a weboldalukon? Az embereknek inkább más módot kellene keresniük az utazás lefoglalására
– mondta akkor a Mirror újságírójának.
Idén év elején a Which? fogyasztóvédelmi szervezet megállapította, hogy a Booking.com egyes ügyfeleit a vállalat hivatalos alkalmazásán keresztül is megkeresték a csalók, így még nehezebb volt felismerni, hogy a megkeresés nem a valódi szállásadótól származott.
Nemcsak az ügyfelek veszítik el a pénzüket, hanem a csalók komoly fejfájást okoznak a szállásadóknak is. Balaram Thapa egy hotel tulajdonosa Katmanduban, Nepálban. Nemrégiben az egyik vendége esett áldozatul egy adathalász-csalásnak.
Az egyik vendégünk a Booking.com-on foglalt szobát nálunk, megkapta a visszaigazolást, majd később kapott egy üzenetet, ami látszólag tőlünk érkezett, és arra kérte, hogy egy harmadik fél linkjén keresztül erősítse meg a fizetését. Teljesen hitelesnek tűnt: a mi hotelnevünkkel és a foglalási adatokkal
– magyarázta a szállodaigazgató.
A vendég a hamis linken keresztül fizetett, és csak akkor döbbent rá, hogy átverték, amikor megérkezett a szállodába.
„Ez mind a vendég, mind a mi csapatunk számára nagyon frusztráló helyzet volt. Nemcsak a pénzét veszítette el, de a Booking.com foglalási folyamatába és belénk vetett bizalma is megingott – pedig mi egyáltalán nem voltunk részesei a csalásnak. Számomra világossá vált, hogy az utazóknak különösen óvatosnak kell lenniük a kapott üzenetekkel, még akkor is, ha látszólag hivatalos foglalási platformtól származnak.”
Balaram felvette a kapcsolatot a Booking.com-mal, ahol azt mondták neki, hogy a hotel fiókját talán feltörték. Az általuk adott tanács az volt, hogy változtassa meg a jelszavát. „Semmiféle további segítséget vagy kártérítést nem ajánlottak” – tette hozzá a szállodaigazgató. Az elkeseredett vendég megsegítésére Balaram 50 százalékos kedvezményt ajánlott fel a szállásdíjból.
Mit mond az ügyvéd és mit gondol a booking.com?
Sean Malloy egy amerikai ügyvéd, aki már több adathalász-csalás áldozatát képviselte bíróságon, és néhány tanácsot is adott azoknak, akik félnek attól, hogy ők is csapdába eshetnek.
„Számos olyan esettel foglalkoztam már, amikor adathalász-csalások miatt anyagi vagy lelki károk érték az embereket. Amikor olyan platformokat, mint a Booking.com, utánoznak, a fogyasztókat gyakran váratlanul éri a dolog, hiszen az ilyen üzenetek nagyon hitelesnek tűnhetnek.
Az utazóknak a legfontosabb, hogy SOHA ne kattintsanak olyan fizetési linkekre, amelyeket e-mailben vagy üzenetben kapnak. Mindig ellenőrizzék a foglalásokat és a kéréseket a hivatalos alkalmazásban vagy a weboldalon.
Amikor csak lehet, kapcsolják be a kétlépcsős hitelesítést, és rendszeresen ellenőrizzék a fiókjaikat a hackelés nyomai után.”
A Booking.com szóvivője a lap kérdésére így nyilatkozott: „Bár megerősíthetjük, hogy a Booking.com rendszereit nem törték fel, tudatában vagyunk annak, hogy egyes szállásadó partnereink és ügyfeleink adathalász-támadások áldozatául estek, melyeket profi bűnözők hajtottak végre. Az online csalás sajnos olyan probléma, amellyel sok iparág küzd, és a Booking.com elkötelezett a kérdés kezelése mellett. Számos erős biztonsági intézkedésünk van, és folyamatosan fejlesztünk új technológiákat, többek között mesterséges intelligenciát és gépi tanulást, hogy még a támadások előtt felismerjük és blokkoljuk a fenyegetéseket. Ha panaszt kapunk, a biztonsági csapatunk azonnal kivizsgálja, és a lehető leggyorsabban együttműködik a partnerekkel a fiókjuk védelmében.”
A szóvivő hozzátette, hogy azok az ügyfelek, akik aggódnak a fizetéssel kapcsolatos üzenetek miatt, „mindig ellenőrizzék a foglalási visszaigazolásban szereplő fizetési feltételeket, hogy biztosak lehessenek abban, hogy az üzenet hiteles. Ha kétségeik vannak, a legjobb, ha kapcsolatba lépnek az ügyfélszolgálatunkkal, vagy a csevegés funkcióban rákattintanak a ‘jelentsen problémát’ opcióra.
„Fontos megjegyezni, hogy soha nem kérünk ügyfeleinktől bankkártyaadatokat e-mailben, csevegőüzenetben, szöveges üzenetben vagy telefonon. Ha az ügyfél a hitelkártyás fizetéssel kapcsolatban aggódik, forduljon a bankjához segítségért. Nagyon komolyan vesszük a szálláshelyek hitelesítését. Bár egy partner kevesebb mint 15 perc alatt regisztrálhat, ezt követően több ellenőrzési és biztonsági lépésen megy keresztül a regisztráció, a beküldés és a szállásoldal élesítése során.”
