Już w 2018 roku, podczas moich wdrożeń RODO w hotelach i na szkoleniach, opowiadałem o pierwszym ataku ukierunkowanym na konkretną grupę zawodową w Polsce.

We wrześniu 2017 roku na celowniku hakerów znalazły się kancelarie prawnicze, które otrzymywały e-maile z adresu [email protected] z powiadomieniem o rzekomej kontroli przez GIODO (Głównego Inspektora Ochrony Danych Osobowych). Adres e-mailowy jak i cały e-mail były łudząco podobne do prawdziwej szaty graficznej stosowanej na stronie GIODO.

Zamiast „kancelaria” użyto słowa „kanelaria” (brak litery „c” w słowie kancelaria) – na co wiele osób nie zwróciło uwagi. E-maile zawierały załącznik, który po otwarciu przez nieostrożnego użytkownika szyfrował dane na komputerze ofiary.

Mówiłem wtedy, że jeśli taki atak zostanie skierowany do hotelarzy z użyciem powszechnie znanego OTA, to pracownicy recepcji w sposób całkowicie bezrefleksyjny otworzą go i dojdzie do zaszyfrowania komputerów recepcyjnych. W najgorszym wypadku – do zaszyfrowania wszystkich komputerów znajdujących się w sieci hotelowej wraz z bazami danych.

Hotele atakowane przez hakerów

Sześć lat później moje słowa poniekąd się spełniły. Hotelarze są atakowani e-mailami, które co prawda nie szyfrują ich komputerów, ale mają na celu wykradzenie ich haseł do logowania się do Extranetu Booking.com.

W tym celu hakerzy wysyłają do hotelu e-mail z informacją o nowej rezerwacji i z prośbą o zalogowanie się do Extranetu Booking.com. Po kliknięciu w link recepcjonista widzi grafikę do złudzenia przypominającą prawdziwy panel do zalogowania. Podczas logowania się na fałszywej stronie przestępcy przechwytują login i hasło do logowania się do panelu Booking.com danego hotelu.

Hotelarze w zdecydowanej większości popełniają ten sam błąd. Pracują w wiele osób na wspólnym haśle i nie zmieniają go w błędnym przeświadczeniu, że Booking.com podczas logowania sprawdza adres IP hotelu i w przypadku wykrycia nieprawidłowości uniemożliwia logowanie do extranetu.

Zamiana adresu IP dla hakera nie jest dużym wyzwaniem i po jego podmianie haker loguje się do Extranetu Booking.com uzyskując informacje o rezerwacjach i  danych osobowych osób rezerwujących pobyty.

Hakerzy wykorzystują pozyskane informacje, aby podszywać się w wiadomościach pod hotel, wysyłając numer konta do dopłaty do rezerwacji.

Na razie nie wiemy jeszcze jak udaje im się obchodzić weryfikację dwuetapową (SMS).

Poniżej pokazuję różnicę między prawdziwymi i fałszywymi wiadomościami z Booking.com.

1. Proszę zwrócić uwagę na nagłówek wiadomości.

FROM: Booking.com [email protected] (Booking.com – adres domeny jest prawidłowy)

2. Najeżdżając myszką (bez klikania) na adres strony https://admin.booking.com pojawia się taki sam adres https://admin.booking.com.

Źródło: materiały własne autora

W przypadku fałszywej wiadomości mamy następujące różnice:

1. W nagłówku wiadomości jest nieprawidłowy adres domeny.

FROM: Booking.com [email protected]

@inovaconsultab.com.br – to nie adres booking.com

2. Najeżdżając myszką (bez klikania w niego) na adres strony https://admin.booking.com pojawia się adres https://bit.ly/3sebxlm (adres nic nie mający wspólnego z Booking.com).
3. Tak samo pojawi się przy linku, który mamy wkleić do przeglądarki, gdyby był problem z zalogowaniem się przez poprzedni link.

Źródło: materiały własne autora

Po kliknięciu w fałszywy link pojawi się na ułamek sekundy poniższa strona.

Źródło: materiały własne autora

Jednak po chwili pojawi się strona łudząco podobna do tej prawdziwej służącej do logowania do extranetu Booking.com.

Źródło: materiały własne autora

Co dalej?

1. Recepcjonista powinien niezwłocznie powiadomić kierownictwo hotelu, ASI (Administratora Systemu Informatycznego) oraz IOD (Inspektora Ochrony Danych, jeśli został wyznaczony) o zaistniałej sytuacji.
2. Zweryfikować konto na Booking.com, zmienić hasło/hasła i włączyć weryfikację dwuetapową (SMS).
3. Powiadomić Booking.com o ataku (bez względu na to, czy był udany, czy też nie).
4. W przypadku, gdyby doszło do zaszyfrowania danych można skorzystać z pomocy Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT.GOV.pl. Jest wielce prawdopodobne, że pomogą w odszyfrowaniu plików.
5. Należy również przeanalizować cały incydent pod kątem RODO.

Administrator danych (hotel) ma 72 godziny na przeanalizowanie całej sytuacji, powiadomienia UODO (Urzędu Ochrony Danych Osobowych) oraz powiadomienia osób, których dane mogły zostać przechwycone przez hakerów.

UWAGA! Są to wszystkie osoby, których dane są dostępne dla hotelu w extranecie  Booking.com. Należy je powiadomić, ponieważ te wszystkie osoby mogą zostać narażone na działania hakerów. Dzieje się tak w sytuacji, w której doszło do utraty poufności danych, a osoby nieupoważnione uzyskały dostęp do danych gości robiących rezerwację.

Administrator danych lub IOD powinien umieścić informację w ewidencji incydentów bezpieczeństwa oraz przedstawić analizę ryzyka związaną z tym incydentem. Wykradzenie loginu i hasła do jednej platformy (w tym wypadku Booking.com) nie powoduje, że hakerzy automatycznie uzyskają dostęp do innych platform, silnika rezerwacyjnego hotelu, czy PMSa, nawet jeśli platforma jest połączona z Channel Managerem.

Kiedyś przeczytałem mądre i ciekawe zdanie: „Hasła są jak bielizna osobista, powinniśmy je często zmieniać i nie udostępniać nikomu”.

Źródło: HRejterzy

Tekst: Maciej Kopeć

www.odowhotelu.pl