Phishing na prawdziwe rezerwacje hotelowe

TL;DR

Phishing na rezerwacje hotelowe jest groźny, bo wykorzystuje prawdziwy kontekst. Wiadomość może zawierać nazwę hotelu, datę pobytu, dane rezerwacji, nazwisko gościa i prośbę o pilne potwierdzenie płatności. To nie wygląda jak losowy spam.

WIRED opisał kampanię, w której badacze Nortona wskazali setki obiektów noclegowych z wielu krajów powiązanych z oszustwami używającymi rzeczywistych informacji o rezerwacjach. Norton opisuje ten typ ataku jako reservation hijacking, czyli przejęcie lub nadużycie kontekstu rezerwacji do stworzenia wiarygodnej przynęty.

Dla firm w Polsce to nie jest tylko temat wakacyjny. Podróże służbowe, delegacje, konferencje, rezerwacje przez Booking.com, hotele, apartamenty i biura podróży tworzą sytuacje, w których pracownik może dostać bardzo przekonującą wiadomość i podać dane karty lub zapłacić poza oficjalnym kanałem.

Dlaczego prawdziwy kontekst zmienia wszystko

Większość prostych porad antyphishingowych opiera się na założeniu, że wiadomość jest podejrzana, bo nie pasuje do sytuacji użytkownika. Nie zamawiałeś paczki, więc SMS od kuriera jest podejrzany. Nie masz konta w danym banku, więc link do logowania jest fałszywy.

W ataku na rezerwację hotelową sytuacja wygląda inaczej. Użytkownik rzeczywiście ma rezerwację. Rzeczywiście czeka na wyjazd. Rzeczywiście może spodziewać się kontaktu od hotelu lub platformy. Wiadomość nie musi tworzyć fikcyjnego kontekstu, bo wykorzystuje już istniejący.

To właśnie odróżnia spear phishing od masowego phishingu. Przestępca nie strzela na oślep. Wykorzystuje informacje, które zwiększają prawdopodobieństwo kliknięcia: termin, miejsce, nazwę obiektu, numer rezerwacji, typ pokoju lub kanał komunikacji.

Dla ofiary to duża różnica psychologiczna. Nie pyta: skąd oni wiedzą, że jadę? Zakłada, że wie to hotel albo platforma, bo przecież to logiczne.

Jak może wyglądać taki atak

Scenariusz zwykle zaczyna się od wiadomości e-mail, SMS, WhatsApp albo komunikatu w systemie rezerwacyjnym. Treść informuje o problemie z płatnością, konieczności potwierdzenia karty, zmianie zasad pobytu, anulowaniu rezerwacji, podatku lokalnym albo wymaganej autoryzacji.

Link prowadzi do strony, która wygląda jak panel hotelu, platforma rezerwacyjna lub bramka płatnicza. Użytkownik widzi dane, które rozpoznaje. To wzmacnia wiarygodność formularza. Skoro strona zna termin pobytu, nazwa hotelu się zgadza, a kwota wygląda realnie, wiele osób przestaje sprawdzać adres.

Celem może być wyłudzenie danych karty, jednorazowej płatności, logowania do konta bookingowego, kodu SMS albo danych osobowych. W bardziej zaawansowanych wariantach atak może przenieść rozmowę do komunikatora, gdzie oszust odpowiada na pytania i uspokaja ofiarę.

Najważniejsze jest to, że atak nie musi być perfekcyjny. Wystarczy, że trafi w moment, gdy użytkownik boi się utraty rezerwacji przed wyjazdem.

Skąd oszuści mają dane rezerwacji

Źródła opisujące reservation hijacking wskazują kilka możliwych ścieżek. Dane mogą pochodzić z przejętych kont hotelowych, phishingu wymierzonego w pracowników obiektów, malware na komputerach obsługi, słabych haseł, braku wieloskładnikowego uwierzytelniania albo nadużyć w kanałach komunikacji z gośćmi.

Dla podróżnego nie zawsze da się ustalić, gdzie dokładnie doszło do naruszenia. Ważne jest, że prawdziwe dane w wiadomości nie są dowodem legalności. Oszust może znać szczegóły rezerwacji i nadal próbować wyłudzić płatność.

To samo dotyczy firm. Jeżeli osoba odpowiedzialna za delegacje dostaje wiadomość z prawdziwymi danymi podróży, nie powinna automatycznie ufać linkowi. Prawdziwy kontekst jest tylko jednym z elementów weryfikacji, nie końcowym dowodem.

W praktyce trzeba oddzielić informację od kanału płatności. To, że wiadomość zawiera poprawne dane, nie oznacza, że link do płatności jest bezpieczny.

Polski kontekst: wakacje, delegacje i Booking.com

W Polsce taki atak może dotyczyć wakacji rodzinnych, weekendu w apartamencie, pobytu w sanatorium, hotelu przy konferencji, delegacji, targów branżowych albo rezerwacji przez popularną platformę. Oszust może podszyć się pod hotel, apartament, recepcję, właściciela obiektu, Booking.com, biuro podróży albo pośrednika płatności.

Najbardziej ryzykowne są wiadomości wysyłane tuż przed przyjazdem. Użytkownik jest wtedy bardziej podatny na presję. Nie chce stracić noclegu, szczególnie jeśli podróż jest opłacona, dotyczy rodziny lub wyjazdu służbowego.

W firmie podobna wiadomość może trafić do pracownika w delegacji, asystentki zarządu, działu administracji, HR, finansów albo osoby rozliczającej karty służbowe. Jeżeli oszust poprosi o dopłatę, potwierdzenie karty lub zmianę sposobu płatności, konsekwencje mogą dotyczyć nie tylko pracownika, ale też firmowego budżetu i danych kart.

To dobry przykład, dlaczego security awareness powinien obejmować codzienne sytuacje biznesowe, a nie tylko pocztę od rzekomego banku.

Co powinien zrobić podróżny

Najważniejsza zasada: nie płać z linku w wiadomości, jeśli nie możesz potwierdzić go niezależnym kanałem. Wejdź do aplikacji rezerwacyjnej samodzielnie, wpisując adres lub używając zainstalowanej aplikacji. Nie przechodź przez link z e-maila, SMS-a lub WhatsAppa.

Jeżeli wiadomość dotyczy problemu z płatnością, skontaktuj się z hotelem przez numer z oficjalnej strony lub z aplikacji rezerwacyjnej. Nie używaj numeru podanego w podejrzanej wiadomości, bo może prowadzić do oszusta.

Sprawdź, czy prośba pasuje do wcześniejszych zasad rezerwacji. Jeżeli nocleg był opłacony, a nagle pojawia się nowa dopłata przez zewnętrzną bramkę, to sygnał alarmowy. Jeżeli hotel żąda zdjęcia karty, kodu SMS albo danych logowania do platformy, proces trzeba przerwać.

Warto też zgłosić wiadomość platformie rezerwacyjnej. Nawet jeśli użytkownik nie da się oszukać, zgłoszenie może pomóc zablokować kampanię i ostrzec obiekt.

Co powinny zrobić firmy

Firmy powinny mieć jasne zasady płatności za podróże służbowe. Kto może zatwierdzić dopłatę? Jak weryfikować zmianę karty lub numeru rachunku? Czy hotel może prosić pracownika o płatność prywatnym linkiem? Co zrobić, gdy wiadomość przychodzi poza oficjalnym kanałem?

Działy administracji i finansów powinny szczególnie uważać na wiadomości przed wyjazdami zarządu, konferencjami i wydarzeniami branżowymi. Im bardziej przewidywalny termin i miejsce, tym łatwiej przygotować wiarygodny atak.

Warto też ograniczać przesyłanie danych kart w wiadomościach. Jeżeli firma używa kart wirtualnych, limitów transakcyjnych i zatwierdzonych kanałów płatności, skutki oszustwa mogą być mniejsze.

W testach phishingowych dla firm scenariusz hotelowy dobrze sprawdza reakcję na prawdziwy kontekst. Nie chodzi o to, czy pracownik rozpozna literówkę w domenie, ale czy zatrzyma się mimo tego, że wiadomość pasuje do jego planów.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik kliknął link, ale nie podał danych, powinien zamknąć stronę, nie wracać do niej i zgłosić wiadomość platformie, hotelowi oraz w firmie, jeśli dotyczyła podróży służbowej.

Jeżeli podał dane karty, trzeba natychmiast skontaktować się z bankiem, zastrzec kartę lub ograniczyć jej limity, sprawdzić transakcje i zachować potwierdzenia. W przypadku karty firmowej należy równolegle powiadomić dział finansów lub osobę odpowiedzialną za rozliczenia.

Jeżeli podał dane logowania do platformy rezerwacyjnej lub poczty, trzeba zmienić hasło z zaufanego urządzenia, unieważnić sesje i sprawdzić metody MFA. Warto też sprawdzić, czy oszust nie zmienił danych kontaktowych lub nie dodał własnego numeru telefonu.

Jeżeli wiadomość przyszła z oficjalnego kanału hotelu lub platformy, trzeba zgłosić to szczególnie dokładnie. Może to oznaczać, że konto obiektu, kanał komunikacji lub system pośrednika został nadużyty.

Jak ćwiczyć taki scenariusz

Dobry scenariusz szkoleniowy powinien używać kontekstu, który jest wiarygodny, ale nie narusza prywatności. Może to być fikcyjna delegacja, rezerwacja na szkolenie, konferencję albo nocleg dla zespołu. Celem jest sprawdzenie, czy użytkownik potwierdzi płatność z linku, czy skorzysta z niezależnego kanału.

Warto mierzyć kilka zachowań: kliknięcie, wpisanie danych, próbę kontaktu z hotelem, zgłoszenie do IT/Security i reakcję działu finansów. Takie ćwiczenie pokazuje, czy firma ma proces, a nie tylko świadomych użytkowników.

Scenariusz hotelowy dobrze nadaje się też do rozmowy z osobami nietechnicznymi. Każdy rozumie stres przed wyjazdem i obawę przed anulowaniem noclegu. Dzięki temu łatwiej wyjaśnić, dlaczego prawdziwe dane w wiadomości nie wystarczają do zaufania.

Najważniejsza zasada

Prawdziwa rezerwacja nie czyni wiadomości prawdziwą. Jeżeli link prowadzi do płatności, karty lub logowania, weryfikuj kanał, a nie tylko treść. W phishingu hotelowym to właśnie poprawne szczegóły są przynętą, nie gwarancją bezpieczeństwa.