Hotelli- ja matkanvarauspalveluiden tietomurtoja käytetään asiakkaiden huijaamiseen

Tietoturva Nyt!

Julkaistu 07.11.2024 11:22

Tässä analyysissä käydään läpi hotellien ja heidän asiakkaidensa raportoimia tietoturvapoikkeamia, joihin liittyy tietomurtoja hotellien omiin varausjärjestelmiin ja Booking.com-varauspalveluun. Booking.com on yleinen ja suosittu matka- ja majoitusvarauksia tarjoava palvelu. Erilaisia Booking.com-teemaisia petoksia ja tietojenkalasteluita on maailmalla raportoitu jo usean vuoden ajan. Kyberturvallisuuskeskus on raportoinut Booking.comin avulla tehdyistä petoksista mm. viikkokatsauksessa 2024/27. Yleisimpiä Booking.com-teemaisia verkkopetoksia ovat erilaiset tietojenkalasteluviestit.

Tietojenkalasteluviestit

Tietojenkalasteluviesteistä on tiedossa eri muunnelmia, mutta kaikissa huijareiden tavoite on sama: joko maksukortin tietojen kalastelu tai suora rahallinen hyöty maksuliikenteen ohjaamisesta rikollisen hallinnoimalle tilille.

Viestikanava voi olla mikä tahansa sähköpostista WhatsApp-viestiin. Viestit saattavat tulla jo valmiiseen viestiketjuun Booking.comin nimissä, tuntemattomista numeroista tai väärennetystä osoitteesta sähköpostitse.

Viestit saattavat olla geneerisillä tai paikkaansapitämättömillä tiedoilla varustettuja, jolloin kyse on opportunistisesta tietojenkalastelusta. Viestejä on saatettu lähettää suurille määrille eri vastaanottajia siinä toivossa, että joku lankeaisi niihin. Tarkempia tietoja varauksesta ja vastaanottajan ja majoittajan tietoja sisältävissä viesteissä taustalla on usein tietomurto.

Kuva Booking.com-asiakkaan saamasta WhatsApp-viestistä tai tekstiviestistä, jossa yritetään houkutella klikkaamaan tietojenkalastelusivulle. — Esimerkki huijausviestistä, jolla Booking.com-asiakas yritetään huijata kirjautumaan tietojenkalastelusivulle

Tietomurrot kalasteluviestien taustalla

Tarkempia tietoja varauksesta ja varauksen tehneestä henkilöstä sisältävät viestit ovat yleistyneet. Rikolliset saavat nämä tiedot haltuunsa toteuttamalla tietomurtoja. Tietomurtoja tapahtuu sekä hotellien ja majoittajien Booking.com-tunnuksille, että heidän omiin varausjärjestelmiin.

Tietomurtoja voidaan toteuttaa bruteforce-hyökkäyksillä, joissa heikko salasana/käyttäjätunnus-yhdistelmä saadaan arvattua. Tätäkin yleisempi tapa on majoittajalle kohdennettu tietojenkalasteluviesti, jolla esimerkiksi hotellin omat Booking.com-tunnukset päätyvät rikollisen haltuun.

Booking.com-tunnuksen kaapattuaan rikollisen on mahdollista tarkastella palvelun kautta tulleita varauksia. Varaustiedoissa on henkilötietoja ja luottokortin tietoja, joita hyödyntämällä rikollinen voi lisätä uhreille lähetettyjen huijausviestien uskottavuutta. Murretun Booking.com-tunnuksen avulla rikollinen voi lähettää myös viestit hotellin nimissä aiempiin sähköpostin viestiketjuihin.

Tietomurtoja on tehty myös hotellien ja majoittajien omiin varausjärjestelmiin. Hyökkääjän on kuitenkin helpompi kohdistaa murtoyritykset yhtenäiseen kaikkien käyttämään palvelualustaan, sillä erilaisten yksittäisten varausjärjestelmien tunnusten kalastelu vaatii rikollisilta enemmän selvitystyötä.

Rikollinen varastaa hotellin booking.com-tunnukset ja pääsee käsiksi hotellin asiakas- ja varaustietoihin. Rikollinen lähettää hotellin asiakkaille palvelun kautta kalasteluviestejä, jotka johtavat kalastelusivuille, joille on kopioitu asiakkaan aidon varauksen tiedot. Motiivina on viedä rahaa, pankki- tai sähköpostitunnukset tai luottokorttitiedot. — Rikolliset ovat suunnitelleet tehokkaan prosessin saadakseen huijattua rahaa majoituspalveluiden asiakkailta.

Booking.com-teemaiset poikkeamailmoitukset Suomessa

Kyberturvallisuuskeskus on aikavälillä 11.1.2023-29.10.2024 vastaanottanut 50 ilmoitusta erilaisista Booking.com-varauspalvelua koskevista tietoturvapoikkeamista. Ilmoituksia on tullut sekä tietojenkalasteluviestin saaneilta että uhriksi joutuneilta kansalaisilta, mutta myös tietomurtojen kohteeksi joutuneilta organisaatioilta.

Rahalliset vahingot

Kyberturvallisuuskeskukselle ilmoitetuissa tapauksissa on tullut ilmi uhrien kärsimiä rahallisia menetyksiä. Luottokortin tietojen syöttäminen tietojenkalastelusivustolle voi johtaa myös suurempiin rahallisiin menetyksiin.

Kehitystrendi

Kansalaisilta tulleita ilmoituksia on tarkastelujaksolla tullut tasaisesti jo parin vuoden ajan. Suomalaisiin hotelleihin kohdistuneita tietomurtoja ja murtojen yrityksiä on tapahtunut kuluneen syksyn aikana.

Yhteenveto

Suomessa on liikkeellä Booking.com-teeman ympärillä useita erilaisia huijaustapoja. Joissakin huijauksissa hyökkääjä yrittää ensin murtautua hotellin tietoihin, joiden avulla huijaukset voi kohdistaa asiakkaisiin, ja joissakin geneerisiä tietojenkalasteluviestejä lähetetään opportunistisesti satunnaisille vastaanottajille. Onnistuneiden hotelleihin kohdistuneiden tietojenkalastelujen jälkeen varauksen tehneitä tahoja lähestytään huijausviestein, joissa rikollisilla on selkeästi tavoitteena rahallinen hyöty.

Majoitusliikkeiden asiakkaiden huijausaalto on globaali ilmiö eikä rajoitu Suomeen. Muissa maissa tapahtuvien tietomurtojen vaikutukset näkyvät myös suomalaisille asiakkaille. Poikkeamista on koitunut uhreille rahallista vahinkoa ja hotelleille on tapauksista koitunut mainehaittaa.

Kyberturvallisuuskeskus jatkaa tilanteen seuraamista ja toivoo tietoa tapahtuneista poikkeamista sekä organisaatioilta että kansalaisilta.