Ko zaupanje postane orožje: Kako spletni kriminalci prek Booking.com praznijo račune nastanitev in gostov

Ker smo tudi v Sloveniji del globalnega turističnega trga, tako gostitelji kot gostje in ker se približujemo vročici vrhunca poletne turistične sezone, kjer bodo številni iskalci proste nastanitve v zadnjem trenutku še toliko primernejša tarča tovrstnih prevar,  je vseeno pričakovati tudi določeno porast in okrepitev aktivnosti teh kriminalnih mrež.

Gre za sistematične poskuse, ki temeljijo na t.i. phishingu, oziroma po slovensko spletnem ribarjenju, kjer je prevare možno preprečiti z ustreznim ozaveščanem, zato smo v Združenju sobodajalcev Slovenije nedavno organizirali spletno delavnice o varnosti, z izkušenim spletnim strokovnjakom za Booking.com Klemnom Bednarikom, od koder imamo
napotke, kako se izogniti takšnim prevaram, tako za gostitelje kot za iskalce nastanitev.

Napadalci so ugotovili, da turistični sektor predstavlja idealno vstopno točko do finančnih sredstev in podatkov o gostih. V praksi so hotele in večje nastanitve še pod večjim udarom, saj do njihovega partnerskega portala Booking.com (Extranet) običajno dostopa večje število zaposlenih (receptorji, vodje prodaje, študenti). Več kot je uporabnikov, večje je tveganje za človeško napako.

Ko prevarant vdre v Extranet, pridobi najdragocenejšo valuto – zaupanje. Zlonamerno sporočilo pošlje neposredno znotraj uradnega Booking klepeta, zato gost nima razloga za sum, saj obvestilo ne pride z neznanega e-naslova, temveč iz potrjenega profila nastanitve.

Uspešnost prevar izhaja tudi iz specifičnega prodajnega modela platforme Booking.com. Uporabniki so navajeni na agresivne pristope, ki nenehno odštevajo ure do izteka »ekskluzivnih akcij« in »zadnjih prostih enot«. Ta nenehni pritisk goste podzavestno privaja na hitro, impulzivno odločanje. Ko napadalec prek uradnega kanala zahteva nujno potrditev kartice v roku 12 ur (sicer bo rezervacija preklicana), gost zaradi že privzgojenega občutka nujnosti reagira takoj in brez kritične presoje.

1. Lažna e-pošta z elementi nujnosti (Sense of Urgency): Osebje na recepciji ali sobodajalec prejme e-pismo, ki popolnoma kopira podobo Booking.com. Opozorilo se glasi: “Vaš račun bo blokiran v 24 urah zaradi nepopolne verifikacije.” V stresu uporabnik klikne na gumb, ki ga odpelje na lažno (phishing) spletno stran, kjer vpiše prijavne podatke in napadalcem preda ključe poslovanja.
2. Past sponzoriranih oglasov na Googlu: Pri vpisu »Booking extranet login« v Google napadalci zakupijo oglas na samem vrhu. Klik nanj odpelje uporabnika na lažno domeno, ki vizualno popolnoma posnema uradno stran za prijavno.
3. Izraba resničnih podatkov za napad na goste: Ob vdorih napadalci dostopajo do imen gostov in datumov rezervacij. S temi podatki nato gostem pošljejo SMS ali sporočilo na WhatsApp/Viber. Ker sporočilo vsebuje točne podatke o njihovem potovanju, gostje nasedejo zahtevi po ponovnem vnosu kartice.
4. Kloniranje nastanitev (Identitetna kraja): Prevaranti v celoti skopirajo fotografije in naslov zakonitega apartmaja ali objekta ter na drugi platformi ustvarijo lažen oglas z nizko ceno. Od turistov poberejo akontacije za termine, ki ne obstajajo, prevarani gostje pa ob prihodu krivijo dejanskega lastnika, kar uniči ugled nastanitve.

• Za ponudnike (sobodajalce in hotele):

  • Stroga kontrola URL naslova: Edina varna pot do Extraneta je admin.booking.com. Shranite jo med zaznamke in nikoli ne klikajte povezav iz e-pošte ali SMS-ov.
  • Dvofaktorska avtentifikacija (2FA): Nikoli in nikomur (niti sodelavcem) ne sporočajte varnostnih kod, ki jih prejmete na telefon.
  • Tehnična uskladitev (Whitelist): Če uporabljate Channel Manager ali sisteme za spletni check-in, njihove domene v Extranetu dodajte na seznam varnih domen (Whitelist), da preprečite blokade povezav.
  • Proaktivno opozorilo: Goste takoj ob rezervaciji avtomatsko obvestite, da vsa komunikacija poteka le prek uradnega sistema in da od njih nikoli ne boste zahtevali ponovnega vnosa kartice prek zunanjih povezav.

  Za goste (potnike):

  • Preverjajte stanje le v uradni aplikaciji: Ob sumljivem sporočilu ročno odprite aplikacijo Booking.com in tam preverite stanje.
  • Brez kartic na zunanjih povezavah: Nikoli ne vnašajte podatkov kartice prek povezav iz SMS-ov, Viberja ali WhatsAppa. Ob dvomu pokličite nastanitev na uradno telefonsko številko.

Če posumite na vdor, šteje vsaka minuta: nemudoma zamenjajte gesla v Extranetu in povezanih sistemih. V nastavitvah preverite, ali so napadalci spremenili IBAN številko za nakazila ali dodali nepooblaščene uporabnike. Zavarujte dokaze (zaslonske slike) ter primer nemudoma prijavite platformi in nacionalnemu odzivnemu centru SI-CERT.

Človeški faktor ostaja glavna obrambna linija. Previdnost, izobraževanje zaposlenih in dosledno preverjanje informacij sta največje orožje, da preprečite uničenje uspešnega posla ali težko pričakovanega dopusta.

Ob tem bi se lahko za pomemben vidik zagotavljanja varnosti izkazala tudi evropska uredba (2024/1028) o kratkoročnih najemih, ki je 20. maja pravkar stopila v veljavo in predvideva souporabo podatkov med nacionalnimi registri nastanitev in rezervacijskimi platformami kot
sta Airbnb, Booking.com, v kateri je predvidena edinstvena identifikacija vsake oglaševane enote.

A vendar je predpogoj za to tudi njena ustrezna implementacija na nacionalni ravni. V Sloveniji je bil s tem argumentom pod ministrom Hanom pripravljena novela gostinskega zakona, ki pa je žal postala nabiralnik izgovorov nasedle stanovanjske politike odhajajoče vlade in želja ljubljanskega hotelirskega lobija po uničevanju konkurence, medtem ko evropske regulacije na koncu v več bistvenih točkah sploh ne izpolnjuje, pa čeprav se nanjo celo neposredno sklicuje.

Zakon namreč še vedno ne evropski uredbi ustrezno identificira vsake posamične oglaševane enote, prinaša uredbi neskladne administrativne ovire pri pridobivanju identifikacijskih številk, pravtako pa nimamo vzpostavljene t.i. digitalne enotne vstopne točke (SDEP), ki je predpogoj za izmenjavo podatkov med platformami in registri.

Na MGTŠ smo zato pred tednom dni, ko je evropska uredba stopila v veljavo, naslovili devet ključnih vprašanj o njeni implementaciji, vendar nismo prejeli nikakršnega odgovora. Smo pa iz Bruslja prejeli informacijo, da je slovenska vlada Evropsko komisijo zaprosila za odlog do konca letošnjega leta.