Zarezerwowany hotel, bilety kupione, urlop zaplanowany. Nagle przychodzi wiadomość: płatność trzeba ponowić albo dopłacić brakującą kwotę. Jeśli tego nie zrobimy, rezerwacja ma zostać anulowana.
CERT Polska, działający w NASK zespół reagowania na cyberzagrożenia, ostrzega, że właśnie w ten sposób zaczyna się wiele oszustw związanych z rezerwacją noclegów. Przestępcy wykorzystują wizerunek znanych platform, przede wszystkim Booking.com, aby wyłudzić dane logowania, dane karty albo skłonić ofiarę do przelewu.
Najważniejszym narzędziem oszustów jest presja czasu. Wiadomość ma sprawić, że klient zacznie ratować wyjazd, zamiast sprawdzić, kto właściwie prosi go o pieniądze.
"W sezonie urlopowym oszuści wykorzystują pośpiech i emocje, by nakłonić użytkowników do podania swoich danych lub wykonania przelewu" - wyjaśnia Iwona Prószyńska, kierująca w NASK zespołem ds. strategicznej komunikacji cyberbezpieczeństwa, cytowana w komunikacie prasowym.
Strona wygląda jak Booking. Zdradza ją adres
Pierwszy schemat polega na skierowaniu użytkownika na fałszywą stronę. Może ona niemal dokładnie przypominać Booking.com: mieć tę samą kolorystykę, podobny układ, formularz logowania i okno płatności.
Różnica kryje się w adresie. Oszuści wykorzystują literówki, dodatkowe słowa lub myślniki, nietypowe końcówki domen i adresy, które na pierwszy rzut oka przypominają nazwę znanego serwisu.
Na takiej stronie użytkownik proszony jest o zalogowanie się albo wpisanie numeru karty, daty jej ważności i kodu bezpieczeństwa. Dane trafiają nie do platformy rezerwacyjnej, lecz do przestępców.
Dlatego CERT Polska radzi, by nie logować się przez linki przesłane w wiadomościach. Bezpieczniej samodzielnie wpisać adres serwisu w przeglądarce lub otworzyć jego aplikację i sprawdzić status rezerwacji w panelu klienta.
Wiadomość może przyjść z prawdziwego konta hotelu
Trudniejszy do rozpoznania jest drugi wariant. Przestępcy przejmują konto hotelu, apartamentu albo właściciela kwatery działającego na platformie. Następnie piszą do osób, które rzeczywiście dokonały rezerwacji.
Wiadomość może zawierać nazwę obiektu, datę pobytu, kwotę i inne dane zgodne z rezerwacją. Może też pojawić się w istniejącej rozmowie z gospodarzem. To sprawia, że prośba o dopłatę albo ponowną weryfikację karty wygląda wiarygodnie.
Sygnałem ostrzegawczym jest żądanie przelewu na prywatny rachunek, skorzystania z zewnętrznej bramki płatniczej albo ponownego wpisania danych karty na stronie otwartej z przesłanego linku.
W takiej sytuacji warto sprawdzić rezerwację bezpośrednio w aplikacji, a następnie skontaktować się z hotelem lub właścicielem obiektu innym kanałem, najlepiej przez numer telefonu podany na oficjalnej stronie.
Fałszywy nocleg może być wystawiony w prawdziwym serwisie
Trzeci przypadek różni się od klasycznego phishingu. Oszust nie tworzy kopii platformy i nie musi przejmować cudzego konta. Zamieszcza po prostu nieuczciwą ofertę w prawdziwym serwisie rezerwacyjnym.
Może posługiwać się zdjęciami innego mieszkania, ukrywać rzeczywiste warunki pobytu albo podawać się za osobę, która nie ma prawa wynajmować obiektu. Użytkownik cały czas znajduje się na właściwej stronie, ale sama oferta jest fałszywa lub wprowadza w błąd.
Takie przypadki należy zgłaszać bezpośrednio administracji platformy. To operator serwisu może usunąć ofertę albo zablokować konto wystawcy. Jeśli doszło już do wyłudzenia pieniędzy, sprawę należy również zgłosić policji.
"Ostatnia szansa" i groźba anulowania
Według NASK szczególną ostrożność powinny wzbudzać komunikaty zawierające słowa takie jak "natychmiast", "ostatnia szansa" albo "rezerwacja zostanie anulowana". Presja nie jest przypadkowa. Przestępca chce, by odbiorca nie zdążył porównać adresów, zadzwonić do hotelu ani sprawdzić płatności w aplikacji.
Podejrzana jest także każda nagła zmiana zasad: prośba o dopłatę, choć wcześniej całość została uregulowana, nowy numer konta, przekierowanie poza platformę albo konieczność ponownego potwierdzenia danych karty.
NASK zaleca, by płatności i rozmowy prowadzić w ramach platformy. Nie należy podawać danych logowania ani karty na stronie otwartej z linku przesłanego e-mailem, SMS-em czy komunikatorem.
Warto też włączyć uwierzytelnianie dwuskładnikowe. Nawet jeśli przestępca zdobędzie hasło, dodatkowe potwierdzenie logowania może utrudnić mu przejęcie konta.
Gdzie zgłosić podejrzaną wiadomość?
Fałszywe strony i wiadomości wysyłane z przejętych kont można zgłaszać CERT Polska za pomocą formularza na stronie incydent.cert.pl. Zgłoszenie jest możliwe także w aplikacji mObywatel, w usłudze "Bezpiecznie w sieci". Takie informacje pomagają specjalistom rozpoznawać powtarzające się kampanie i blokować strony wykorzystywane do wyłudzania danych.
Fałszywe oferty zamieszczone na prawdziwej platformie należy natomiast zgłaszać jej administracji. Jeżeli pieniądze zostały już przelane, trzeba jak najszybciej skontaktować się również z bankiem i policją.
Najprostsza zasada brzmi: gdy ktoś niespodziewanie domaga się ponownej płatności, nie należy korzystać z przesłanego linku. Najpierw trzeba otworzyć rezerwację samodzielnie i sprawdzić, czy żądanie rzeczywiście pochodzi od hotelu lub platformy.
