Νέες έρευνες στον τομέα της κυβερνοασφάλειας δείχνουν ότι στοιχεία πελατών και δεδομένα κρατήσεων πιθανόν να έχουν διαρρεύσει από εκατοντάδες ξενοδοχειακές μονάδες διεθνώς. Οι πληροφορίες αυτές αξιοποιούνται από εγκληματίες του κυβερνοχώρου για την αποστολή εξαιρετικά στοχευμένων μηνυμάτων ηλεκτρονικού «ψαρέματος» (phishing)< , τα οποία αποσκοπούν στην κλοπή τραπεζικών και προσωπικών δεδομένων.

Τα δεδομένα πελατών από περισσότερα από 350 ξενοδοχεία, καταλύματα, μοτέλ και ξενώνες σε 50 διαφορετικές χώρες, ενδέχεται να έχουν διαρρεύσει, σύμφωνα με ανάλυση που διεξήγαγε η εταιρεία Norton. Οι ερευνητές αναφέρουν ότι η χρήση πραγματικών στοιχείων κρατήσεων στα μηνύματα phishing αυξάνει τις πιθανότητες το θύμα να πατήσει έναν κακόβουλο σύνδεσμο και να μοιραστεί προσωπικά δεδομένα.

«Αυτές οι επιθέσεις είναι πραγματικά στοχευμένες», δήλωσε ο Λουίς Κόρονς στο WIRED, ο οποίος ηγήθηκε της έρευνας της μητρικής εταιρείας της Norton, Gen Digital. Οι ιστοσελίδες phishing που εξέτασε η εταιρεία περιλάμβαναν ονόματα ξενοδοχείων, το ποσό που πλήρωσε κάθε θύμα, καθώς και ακριβείς ημερομηνίες άφιξης και αναχώρησης (check-in και check-out).

Μεταξύ των δεδομένων που αναλύθηκαν, η Γερμανία εμφανίζεται να έχει τα περισσότερα ξενοδοχεία που ενδέχεται να έχουν επηρεαστεί, ακολουθούμενη από τη Γαλλία, το Ηνωμένο Βασίλειο, την Ιταλία, την Ισπανία και τις ΗΠΑ. Τα 350 καταλύματα που αναφέρονται έχουν χωρητικότητα περίπου 80.000 επισκεπτών στο αποκορύφωμα της σεζόν, εκτιμούν οι ερευνητές.

«Τα περισσότερα καταλύματα δεν είναι μεγάλα, είναι μικρά και μεσαία ξενοδοχεία», σημειώνει ο Κόρονς.

Αυτοματοποιημένα εργαλεία phishing

Ενώ οι επιθέσεις σε συστήματα ξενοδοχείων για την απόκτηση δεδομένων κρατήσεων συμβαίνουν εδώ και χρόνια, οι ερευνητές σημειώνουν ότι οι εγκληματίες αναπτύσσουν συνεχώς εργαλεία «phishing-as-a-service» που επιτρέπουν τη μαζική αποστολή απατηλών μηνυμάτων. Πέρυσι, οι Αμερικανοί έχασαν πάνω από 200 εκατομμύρια δολάρια από επιτυχημένες επιθέσεις phishing σύμφωνα με στοιχεία του FBI.

Η Norton ξεκίνησε την έρευνά της τον Δεκέμβριο, όταν εντόπισε ένα μήνυμα phishing στην εφαρμογή WhatsApp που προσποιούνταν ξενοδοχείο συνεργαζόμενο με την Booking και καλούσε τον χρήστη να επιβεβαιώσει τα στοιχεία της κράτησής του μέσω συνδέσμου. Η ψεύτικη σελίδα στην οποία οδηγούσε ο σύνδεσμος κατέγραφε σε πραγματικό χρόνο τα στοιχεία του χρήστη, συμπεριλαμβανομένων των στοιχείων πληρωμής.

Σύμφωνα με την εταιρεία, οι χάκερ μπορούν να αποκτήσουν δεδομένα κρατήσεων είτε παραβιάζοντας συστήματα ξενοδοχείων είτε μέσω τρίτων υπηρεσιών κρατήσεων, ή ακόμη και μέσω κακόβουλων email που στοχεύουν το προσωπικό των ξενοδοχείων. Οι ερευνητές δεν έχουν εντοπίσει ακόμη με βεβαιότητα ποιοι βρίσκονται πίσω από τις επιθέσεις, αλλά εκτιμούν ότι χρησιμοποιούν συχνά αυτοματοποιημένα εργαλεία phishing. Αξίζει να σημειθωθεί ότι η Europol έχει ενημερωθεί για τα ευρήματα αυτά.

Εκπρόσωποι της Booking.com και της Cloudbeds δηλώνουν ότι λαμβάνονται μέτρα ασφάλειας και ότι πολλές από αυτές τις επιθέσεις στοχεύουν το προσωπικό των ξενοδοχείων μέσω κλοπής διαπιστευτηρίων, όχι απαραίτητα άμεση παραβίαση των ίδιων των πλατφορμών.

Ένας ευάλωτος κλάδος

Προσπάθειες παραβίασης ξενοδοχείων και χρήσης δεδομένων πελατών γίνονται εδώ και χρόνια. Σε ολόκληρο τον ταξιδιωτικό κλάδο, τα ξενοδοχεία χρησιμοποιούν συχνά μια σειρά από λογισμικό διαχείρισης καταλυμάτων ή διαφορετικά συστήματα που επιτρέπουν στους ανθρώπους να κάνουν κρατήσεις μέσω τρίτων εταιρειών. Ταυτόχρονα, το προσωπικό μπορεί εύκολα να διαχειρίζεται βασικά στοιχεία πελατών και κρατήσεις.

«Ο κλάδος της φιλοξενίας πρέπει συλλογικά να ενισχύσει το βασικό επίπεδο ασφάλειας, με καλύτερη εκπαίδευση του προσωπικού, ευρύτερη χρήση μεθόδων ταυτοποίησης ανθεκτικών στο phishing και αυστηρότερους ελέγχους στην πρόσβαση δεδομένων επισκεπτών από κάθε πλατφόρμα», αναφέρει ο Όουνμπεϊ.

Ειδικοί τονίζουν ότι μικρότερα ξενοδοχεία είναι πιο ευάλωτα λόγω ελλιπών μέτρων όπως η πολυπαραγοντική ταυτοποίηση. Σε παραδείγματα επιθέσεων, οι δράστες χρησιμοποιούν ρεαλιστικά σενάρια (π.χ. «χαμένο διαβατήριο») για να εξαπατήσουν προσωπικό και να εγκαταστήσουν κακόβουλο λογισμικό. Ο Κόνορος επισημαίνει ότι η χρήση πραγματικών δεδομένων στις απάτες δυσκολεύει σημαντικά την αναγνώριση της γνησιότητας ενός μηνύματος από τον χρήστη. Σε περιπτώσεις αμφιβολίας, προτείνει την άμεση επικοινωνία με το ξενοδοχείο.

«Ακόμα κι αν τα δεδομένα στο μήνυμα είναι πραγματικά, δεν σημαίνει ότι είναι αξιόπιστο», καταλήγει ο Κόνορς.