Hekerski incidenti na Booking.com: Kako dejansko poteka napad in kdo nosi odgovornost?

Analize mednarodnih strokovnjakov za kibernetsko varnost kažejo, da pri teh incidentih pogosto sploh ne gre za klasičen vdor v centralne strežnike platforme v Amsterdamu. Hekerji platformo vse pogosteje napadajo “skozi stranska vrata” – tako, da najprej ciljajo nas, partnerske nastanitve.

Napad v praksi običajno poteka v naslednjih korakih:

1. Ribarjenje (Phishing) sobodajalca: Na vaš elektronski naslov prispe izjemno prepričljivo sporočilo, ki vizualno posnema uradno komunikacijo Booking.com (npr. z naslovom “Nujno: Pritožba gosta” ali “Blokada računa”).
2. Kraja prijavnih podatkov: Sporočilo vsebuje povezavo, ki vas vodi na lažno spletno stran, kjer od vas zahtevajo ponovno prijavo. Če vpišete svoje geslo (ali celo potrdite lažen varnostni test CAPTCHA), napadalci pridobijo vaše prijavne podatke ali pa na vašo napravo namestijo zlonamerno kodo.
3. Ugrabitev Extraneta: Hekerji se z vašimi podatki prijavijo v vaš partnerski portal (Extranet) in dobijo popoln vpogled v vaše trenutne in prihodnje rezervacije ter kontaktne podatke gostov.
4. Napad na gosta pod vašim imenom: Sledi zadnja faza – hekerji gostom prek uradnega Booking.com klepeta, WhatsAppa ali SMS sporočil pošljejo zahtevo za potrditev plačila. Ker sporočilo navaja točne datume bivanja in navidezno prihaja neposredno od vas, mu gostje pogosto nasedejo in nakažejo denar na račune prevarantov.

Ko gost na ta način izgubi denar, se takoj postavi vprašanje, kdo je zanj odgovoren. In tu se za sobodajalce skriva največja past.

Booking.com se v svojih splošnih pogojih sodelovanja strogo ščiti. Njiihova pravna argumentacija v takšnih primerih je običajno ta, da varnostna vrzel ni nastala v njihovem centralnem sistemu, temveč na končni točki uporabnika – torej pri sobodajalcu, ki je nasedel phishing prevari in ni ustrezno zavaroval svojih prijavnih podatkov in naprav. Platforma zato odškodninsko odgovornost do gosta največkrat zavrne.

S tem se breme prenese neposredno na vas. Gost, ki je bil ogoljufan prek sporočila, poslanega z vašega uradnega profila, bo odškodnino in vračilo sredstev terjal od vaše nastanitve. Če se izkaže, da ste kot sobodajalec ravnali malomarno (npr. niste uporabljali dvostopenjskega preverjanja ali ste klikali na sumljive povezave), ste lahko izpostavljeni civilnim odškodninskim zahtevkom gostov, ukrepom tržnih inšpektoratov ali pa vas platforma celo začasno suspendira zaradi kršitve varnostnih protokolov. Četudi se na koncu pravno ubranite, je škoda, povzročena vašemu ugledu in ocenam (angl. review score), pogosto nepopravljiva.

Zanašanje zgolj na varnostna zagotovila velikih platform ni dovolj; proaktivna zaščita je vaša dolžnost. Zato vam nujno svetujemo uvedbo naslednjih korakov za zmanjšanje tveganj in zaščito pred morebitno odgovornostjo:

• Vklopite in dosledno uporabljajte dvostopenjsko preverjanje (2FA): To je vaš najmočnejši pravni in tehnični ščit. Tudi če vam hekerji ukradejo geslo, brez druge stopnje potrditve (na vašem telefonu) ne bodo mogli vdreti v vaš Extranet. S tem tudi dokazujete, da ste poskrbeli za primerno tehnično zaščito.
• Prehitite prevarante z jasnim opozorilom: V svoja avtomatska pozdravna sporočila gostom takoj vključite nedvoumno opozorilo: “Prosimo, upoštevajte, da vsa naša uradna komunikacija in plačila potekajo izključno znotraj platforme Booking.com. Od vas nikoli ne bomo zahtevali plačil ali potrjevanja kreditnih kartic prek zunanjih povezav v e-pošti ali WhatsApp sporočilih.”
• Izobraževanje osebja: Če Extranet upravlja več oseb ali zunanjih sodelavcev, se prepričajte, da so vsi seznanjeni z nevarnostjo lažnih elektronskih sporočil. Gesel nikoli ne vpisujte prek povezav v e-pošti, v Extranet vedno dostopajte neposredno prek brskalnika.