Törmäsin tällä viikolla LinkedIn:ssä useampaankin postaukseen hotellinvarauspalvelun Booking.com:n liittyviin huijauksiin. Näissä epäiltiin esim. maksukorttien tietojen vuotaneen Booking.com:n kautta rikollisille. Ajattelin kirjailla muutaman sanan aiheeseen liittyen.
Booking.com:n kautta tulleista huijausviesteistä ovat käyttäjät raportoineet jo vuosien ajan. Nimenomaan viesteistä, jotka ovat tulleet hotellinvarauspalvelun sisällä. Varsinaisesti itse Booking.com:ia ei ole missään vaiheessa hakkeroitu siten, että rikolliset olisivat sitä kautta saaneet Suomalaisten käyttäjien maksukorttitietoja haltuunsa.
Huijaus kulkee pääpiirteissään näin: Ensin rikolliset lähettävät kohdehotellille sähköpostiviestin, jossa he esiintyvät hotellissa aiemmin vierailleina asiakkaina. He keksivät tarinan esim. hotellille viime vierailulla jääneestä passista tai muusta henkilöllisyystodistuksesta.
Tämän jälkeen rikolliset lähettävät uuden viestin, jossa he kertovat etsineensä passia joka paikasta ja hotelli näyttäisi olevan ainoa paikka missä se enää voisi olla. He pyytävät hotellilta apua kadonneen passin etsintään ja sähköpostiviesti sisältää linkin, jonka takaa pitäisi löytyä kuva kadonneesta passista.
Todellisuudessa linkistä avautuu tiedosto ja mikäli hotellin koneella suoritetaan ko. tiedosto, asentuu siihen haittaohjelma. Kyseinen haittaohjelma etsii koneelle tallennettuja salasanoja admin.booking.com sivustolle ja mikäli sieltä sellaiset löytyy, ne lähetetään rikollisille.
Sen jälkeen rikollisilla on käytössään hotellin käyttäjätunnukset, joilla he pääsevät näkemään hotellille Booking:n kautta tehdyt varaukset. He eivät pääse suoraan käsiksi asiakkaiden maksukorttitietoihin tätä kautta ja sen takia alkaakin huijauksen seuraava vaihe.
Rikolliset lähettävät varauksen tehneille asiakkaille viestin Booking:n sisäisen järjestelmän kautta, jossa he kertovat asiakkaan maksukortissa olleen ongelman ja maksu ei onnistunut. Mikäli asiakas ei syötä maksukortin tietojaan uudelleen viestissä olevan linkin kautta, uhataan koko varaus perua.
Rikollisten kannalta huijauksesta tekee tehokkaan se, että viestit tulevat oikeasti Booking.com:n sisäisestä järjestelmästä ja sen hotellin nimissä mistä asiakas on varauksen tehnytkin. Viestissä oleva linkki vie asiakkaan huijareiden rakentamalle Booking.com:lta näyttävälle sivulle, jossa näytetään asiakkaan nimi ja varaustiedot. Pikaisesti katsottuna kaikki näyttäisi olevan kunnossa. Mikäli käyttäjä ei huomaa katsoa selaimen osoiteriville ja huomaa sivun osoitteen olevan jotain muuta kuin booking.com.
Sivuilla pyydetään laittamaan maksukortin tiedot ja sitä kautta ne päätyvät rikollisille.
Lisää aiheesta:
Kyberturvallisuuskeskus varoitti viikkokatsauksessaan heinäkuussa 2024 tietojenkalastelusta Booking.com:n nimissä.
Loppuvuodesta 2023 tietoturvayhtiö Kaspersky kirjoitti huijauksesta: