Boli sme svedkami viacerých prípadov na Slovensku, kedy sa veľmi presvedčivým spôsobom podarilo hackerom získať prístupy do Bookingových účtov hotelov a po výmene poskytovateľa channel managera, hromadnými správami vylákal od hostí duplicitné platby alebo údaje kreditných kariet. Ako sa týmto útokom brániť, a prečo sú tak nebezpečné?

 

 

Hneď v úvode je nevyhnutné spomenúť, že sa vôbec nejedná o niečo nové alebo nepoznané, takýchto podvodov sa v globálnom meradle deje množstvo. V posledných mesiacoch sa zopakovali viaceré incidenty, ktorých cieľom bolo okradnúť hostí hotelov, aj na Slovensku a preto sme sa rozhodli napísať tento článok a zamyslieť sa nad možnosťami minimalizácie týchto incidentov. Útoky vo všetkých prípadoch prebehli veľmi podobným spôsobom:

  • 1. útočníci získali prístup do Extranetu hotelového účtu
  • 2. útočníci zmenili hotelu poskytovateľa prepojenia 
  • 3. pomocou nového channel managera stiahli e-mailové adresy hostí 
  • 4. boli rozposlané veľmi dôveryhodné správy s výzvou na platbu alebo zadanie údajov kreditnej karty za účelom garancie pobytov 

V čom sú tieto útoky nebezpečné?

Tieto phishingové útoky sú veľmi sofistikované a nebezpečné z viacerých dôvodov. 

  • 1. pôsobia veľmi dôveryhodne, neskúsený používateľ im ľahko uverí 
  • 2. kontaktujú reálnych budúcich hostí 
  • 3. označia správny hotel, v ktorom majú hostia naplánovaný pobyt
  • 4. pôsobia psychologickým nátlakom, že ak tak klienti neurobia, prídu o rezerváciu
  • 5. podstránka na platbu vyzerá identicky, ako cestovný portál

 

 

Výzvy na platby sú zasielané prostredníctvom e-mailových adries, ktoré cestovné portály generujú vašim hosťom. Ak má hosť aktívny chat v podobe aplikácie v mobile, je mu táto správa zaslaná aj do chatu, aj na jeho koncový e-mail, z ktorého si vytvoril rezerváciu na portáli. 

 

 

Samotný podvod má viacero slabých miest, ktoré by si mal obozretný používateľ všimnúť. Prax však ukazuje, že veľa klientov sa dá reálne nachytať a podvodníkom platbu zaplatia. Pozreli sme sa na tieto podvody zo strany praxe hotela a nás, ako poskytovateľa prepojenia s cieľom nájisť opatrenia, ako by sme riziko týchto útokov mohli minimalizovať. 

Ako sa voči týmto útokom chrániť a čo by som mal podniknúť?

Odporúčame hneď preventívne vykonať nasledovné kroky všetkým ubytovateľom:

  • skontrolujte si, kto má prístup do vášho extranetu a minimalizujte počet účtov na prihlásenie
  • overte si, či účet, ktorým sa prihlasujete do extranetu má zadané mobilné číslo pre zasielanie overovacích kódov
  • aktualizujte mobilné čísla a kontakty 
  • zmeňte si heslo do extranetu aspoň raz za 3 mesiace 
  • používajte dostatočne dlhé heslo (aspoň 12 znakov, veľké písmeno, malé písmeno, špeciálny znak)
  • limitujte e-mailové adresy, z ktorých je oprávnené zasielať správy vašim hosťom 

Pri poslednom bode sa trochu pozastavíme. Málokto vie, že portál Booking.com dnes ponúka možnosť zabezpečenia zasielania notifikácií a správ hosťom. Bezpečnostné nastavenia nájdete v záložke Property - Messaging preferences, kde pod bezpečnostnými pravidlami ponúka dve základné filtrácie. 

 

 

Prvá je možnosť filtrovať odosielateľa správ, alebo notifikácii hosťom. Na tomto mieste si môžete nastaviť e-mailové adresy, ktoré máte v systéme Ellipse nastavené na zasielanie notifikácií alebo newslettrov a automatických správ hosťom. Na rovnakom mieste môžete pridať aj vaše adresy, z ktorých bežne s hosťami komunikujete. Zvyšní odosielatelia budú automaticky portálom blokovaní, a takto môžete zablokovať aj potenciálne phishingové správy.  

 

 

Druhá možnosť je bezpečnostná filtrácia odkazov na externé weby, ktorá by tiež znemožnila zaslanie potenciálnych phishingových správ hosťom s odkazmi na podvodné stránky. Pre vaše účely je postačujúce uviesť dve domény, prvú doménu - lokalitu, na ktorej máte spustený Ellipse (zväčša je to vaša hlavná doména alebo sub-doména booking.vasadomena.sk). Druhú doménu, ktorú odporúčame povoliť je https://selfcheckin.app, na ktorej prebieha online checkin vašich hostí.

 

 

Týmto pridaním domén znížite šancu rozposielania phishingových správ hosťom, zvýšite bezpečnosť hostí a predídete zbytočným komplikáciám a nepríjemnostiam s podvodnými správami. Zároveň zachováte vaše automatizované správy aktívne a automatická komunikácia, pokyny k ubytovaniu, PIN kódy na kľučky, výzvy na online checkin a iné, budú bez problémov klientom doručované tak, ako očakávate. 

Žiaľ, aj v prípadoch, ktoré sa stali na Slovensku sa podarilo útočníkom získať finančné prostriedky hostí. Podvodom. Neoprávnene. Ale cesta k návratu prostriedkov je častokrát veľmi dlhá, plná nervozity a strateného času. Hostia sa paradoxne častokrát sťažujú priamo samotnému hotelu, pretože sa mylne domnievajú, že správu dostali od nich a ku platbe ich vyzval hotel prostredníctvom správy. Odporúčame maximálnu obozretnosť a využívanie všetkých dostupných nástrojov na minimalizáciu phishingu, ochranu vašich údajov, aj prostriedkov vašich hostí.