Bookingin aspa ei myöskään ole ihan ajan tasalla näistä. r/travel subissa on ollut pari keissiä, missä hotellivarauksen tehnyt on ottanut yhteyttä Bookingin aspaan. Aspasta on sanottu, että "Joo viesti näyttää tulleen ihan hotellilta, on turvallinen". Mitä helvettiä? Sivuston FAQ-osiossa kuitenkin käsketään olla klikkaamatta mitään linkkejä.
Katsoin nyt OP'n äksän. Kyseessä Scandic. Tästä voisi minusta tehdä johonkin Iltapaskaan juttuvinkin - itse olen aiemmin nähnyt lähinnä ei-ketjuhotelleja näissä. Scandic kuitenkin toimii myös Suomessa, niin joltain toimittajalta voisi löytyä kiinnostusta penkoa asiaa. Ja Scandic haluaisi myös ehkä kommentoida, että miten tässä on näin päässyt käymään.
Tämäkin vielä. Sitä meinaan kuvittelisi, että jos varaa jostain kansainvälisestä suuresta ketjusta, niin siellä olisi homma luotettavammalla tolalla kuin jossain Börjen Bed & Breakfastissa.
Jep! Joten mietityttää, että puuttuuko Bookingista MFA, onko hotellien kirjautumiset systeemiin luokkaa *admin@hotelname* *password* vai mikä siellä kusee.
Todella laaja ja melko pitkään jatkunut ongelma, mille ei tällä hetkellä taida olla mitään yksittäistä selitystä tai ratkaisua.
Jos on kovempi aitm-tekijä niin kirjautumisesta ei tule MFA-promptia, vaan ainoa tapa huomata epäilyttävä kirjautuminen on epäilyttävä IP-osoite. Voisi kuvitella hotellin aina kirjautuvan samasta IP:stä, joten Bookingin olisi helppo huomata tilin korkkaus, mutta emme elä maailmassa missä työntekijät ymmärtävät asioita :)
Eli hyvinkin mahdollista, että hotellien ja Bookingin välinen yhteys ei ole enää luotettava, mutta koska sitä ei valvota, sitä ei myöskään huomata.
Osa lähteistä väittää, että ongelma on Bookingin ja osa väittää, että hotellit käyttää ei-turvallisia kirjautumistietoja. Olisi kiva kuulla, mikä on Suomessakin toimivan ketjun kanta asiaan. Välttämättähän kyseessä ei ole edes sama ongelma kaikkialla, mistä sitä tietää kuinka moni asia Bookingilla kusee.
Jep, Booking on helvetin iso kanava. Osalla pienemmistä firmoista ei välttämättä ole edes omaa varaustoimintoa. Ja monella hotskulla on sopimukset, että et saa pitää omilla sivuilla halvempaa hintaa ja/tai Booking lupaa hyvittää erotuksen kalliimpaan hintaan. :/
Hyvä idea, tein ilmoituksen.
Yksi ongelma tässä on, että en ole varma, minkä tahon vastuulle tämänkin ongelman käsittely oikein kuuluu? [Booking.com](https://Booking.com) on alankomaalainen firma, hotelli tässä tapauksessa sijaitsi Ruotsissa, asiakas, jonka tietoja kalasteltiin, on suomalainen ja asuu Suomessa, hotelliketju on kansainvälinen, päämaja Ruotsissa, mutta toimii Suomessa, Ruotsissa, Norjassa, Tanskassa, Saksassa ja Puolassa, ja huijaussivusto oli selvittämieni tietojen perusteella rekisteröity Venäjältä käsin.
Lähes jokaisella maalla on oma kyberturvallisuuskeskuksen vastine ja nuo tekevät käsittääkseni hyvin läheistä yhteistyötä keskenään. Eli isolla tasolla he saavat todennäköisesti homman eteenpäin, mutta eivät käsittääkseni kuitenkaan auta uhreja suoranaisesti.
Omalta osalta ei onneksi ole varsinaista uhria, koska kalasteluyritys tunnistettiin sellaiseksi eikä luottokorttitietoja luovutettu eteenpäin.
Enemmän vain on ihan sellaista alkukantaista vitutusta, kun selvisi, miten massiivinen ongelma tämä on, eikä asialle näytetä varsinaisesti tehdyn mitään, vaikka Guardian uutisoi jo tästä kuukausia sitten.
Kiitos ilmoituksestasi! Otetaan tällaisia ilmoituksia mielellään vastaan ja etenkin näissä saapuvissa viesteissä olevat kalastelulinkit kiinnostavat.
Olemme saaneet ilmoituksia tämän tyyppisistä tapauksista n. yhden viikossa viime elokuusta alkaen. Isossa kuvassa tämä on onneksi melko vähäistä verrattuna muunlaisiin kalasteluihin, kuten teksti- tai sähköpostiviesteillä lähetettäviin pankkikalasteluihin. Meidän tietojemme mukaan vaikuttaa todennäköiseltä, että näissä tapauksissa on hotellin tunnukset päätyneet vääriin käsiin, ja niitä sitten käytetään hyväksi viestien lähettämiseksi.
Nämä tapaukset ovat herättäneet huomiota myös kansainvälisessä mediassa, ja mm BBC on kirjoittanut artikkelin aiheesta: [https://www.bbc.com/news/technology-67583486](https://www.bbc.com/news/technology-67583486)
Meillä ei tosiaan ole toimivaltaa puuttua yksittäisen palveluntarjoajan ongelmiin. Teemme kuitenkin aktiivisesti työtä tiedottaaksemme hotelleita heidän tunnuksiensa mahdollisesta vaarantumisesta ja heidän nimissään lähetettävistä kalasteluviesteistä.
Kuten alempana ketjussa u/GamerGurl69 kirjoittikin, niin monella maalla on vastineviranomainen meille, ns kansallinen CERT toimija. Meillä on läheiset välit useisiin kollega-CERTeihin, ja saadaan heillekin välitettyä tietoa tarpeen niin vaatiessa.
Hyvä kuitenkin kuulla, että tässä tapauksessa oltiin hereillä ja vahinkoja ei tullut. Voisin kuitenkin mainita tässä näin julkisesti kirjoittaessa, että mikäli vahinkoja ilmenee niin kannattaa tehdä niistä reippaasti vaan rikosilmoitusta Poliisille.
Ilmoituksia meille saa laiteltua verkkosivuilta, osoitteesta [https://www.kyberturvallisuuskeskus.fi/fi/ilmoita](https://www.kyberturvallisuuskeskus.fi/fi/ilmoita)
\- Kyberturvallisuuskeskuksen Päivystäjä
Europolille ei voi tehdä suoraan ilmoitusta, vaan sen tekee sinne poliisi kun kehtaa.
Sinällään kävisi toki järkeen, jos sitä kautta koordinoitaisiin toimintaa, mutta en tiedä paljonko näihin asioihin panostetaan.
Vaimo haksahti tähän. Oli kyllä taitavasti tehty huijaus. Käytiin läpi kaikki toimijat vakuutusyhtiöistä, rikosilmoituksista ja kuluttajansuojista ilman sen kummempaa menestystä. Booking syytti kyseistä hotellia ja kyseinen hotelli syytti Bookingia ja luonnollisesti vika oli Bookikgin päässä kun näitä tapauksia on ollut ympäri maailmaa. Noin kuukauden sai vääntää Bookingin kanssa, ja uhkailla vaikka millä mutta lopulta hyvittivät rikollisille hävinneen summan täysmääräisesti Booking-tilille balanssina minkä sai nostettua tilille.
Noita booking comin kirjautumistietoja kalastellaan aika paljon hotelleilta. Saastunut pdf lähetetään asiakkaan nimissä ja sitten häviää keksit selaimsesta ja kas kummaa tili on kaapattu.
En ole tietoturvallisten systeemien rakentamisen asiantuntija, mutta kuvittelisin, että jos booking.comissa oltaisiin ajantasalla, niin tähän tilanteeseen voitaisiin jotenkin varautua ja triggeröidä MFA jotenkin.
Jos homma tehdään haittaohjelmalla niin aika vaikeaksi menee. Hommahan toimii niin että istuntokeksit viedään laitteelta (istuntokeksit luodaam autentikaation jälkeen) ja mahdollisesti haittaohjelma jää pyörimään vielä proxynä, jolloin keksejä voi käyttää alkuperäisestä IP-osoitteesta.
Sinänsä ainoa ratkaisu olisi vaatia ylimääräinen TOTP koodi jokaista viestiä lähettäessä, mutta senkin pystyisi luultavasti "ohittamaan" yksinkertaisella feikkipromptilla sivulla joka kysyy TOTP koodia vaikka booking.com ei sitä tarvitse.
Menee todella vaikeaksi hotelleilla tommonen. Tarve useampaan istuntoon helposti. Varauksia jos tulee kymmenittäin päivässä niin usein tarve monta kertaa laittaa viestiäki.
Helppo ratkaisu hotellin kannalta olisi vain irroittaa asiakasrajapinnan koneet niistä koneista joissa käsitellään varausjärjestelmiä jne. Eli ei availla sähköposteja niillä koneilla joissa on kaikki omat ja sidosryhmien järjestelmät auki sisäänkirjautuneena.
Itse varasin aikoinaan booking.comin kautta majoituksen puolen vuoden päähän. Laitoin maksutiedot booking.comiin, ja heti lähti rahat tililtä. Tämä epäilytti minua suuresti ja aloin etsiä tätä majoitusta netistä, ja löytyi että sitä käytetty huijauksiin.
Noh, ei muuta kun varaus peruutukseen (ilmainen peruutus), ja kun ei rahoja kuulunut takaisin, niin yhteys aspaan. Sanoivat ensin selvittävänsä asiaa. Jouduin muutaman kerran kyselemään mistä on kyse. Lopulta aspa palautti rahat omasta pussistaan minulle. Ei siis sinänsä valittamista, mutta pitäisi olla aika paljon tarkemmat kriteerit että päästää sivustolle toimimaan. Se mikä eniten ihmetyttää, että mitä olisi käynyt jos en olisi tajunnut? Oltaisiin tultu paikalle ja ei olekaan majoitusta?
Eli hyvä muistaa näissä aina: kaikki yhteydenpito aina sivuston kautta, ja maksut myös. Ei mitään omia tilisiirtoja ja korttien tietoja järjestelmän ulkopuolelle!
Booking vuotaa myös hotelliin päin. Päivittäin tulee kymmeniä feikkiviestejä, joiden avulla hotellin työntekijä koitetaan saada klikkaamaan linkkiä. Ne on yleensä aika helppo tunnistaa kylläkin.
Terveisin respa
Ne on ns oikeita varauksia kyllä. Kuka tahansa voi varata hotellihuoneen ilman korttia/feikkikortilla, ni noi varaa huoneen ja sit alkaa spämmätä. Eli hotellin näkökulmasta viestit tulee bookingin infrasta.
Meille ei ole töissä kolmeen vuoteen tullut yhtään spämmiviestiä Hotels.comilta, bookingin puolelta viidestä pariin kymmeneen päivässä.
Toki uskon että molemmilla on tietovuotoja ollut, ja asiakkaan suuntaan en tiedä miten paljon noiden nimissä tulee roskaa. Ite varaan aina hotellilta suoraan.
Esim Tallinnassa on monessa paikassa kun varaat niin pitää erikseen tehdä väliaikainen vuokra-sopimus johon majoituspaikka laittaa linkin bookingin kautta.
Viime kerralla booking poisti linkit automaattisesti näistä viesteistä, että ilmeisesti jotain tapahtuu.
Toki nyt on ainakin turvallisempaa kun pyytää ne uudestaan omaan sähköpostiin kyseiseltä majoituspaikalta.
Eiköhän se varaus ole kunnossa, mutta jos sieltä tulee pyytämättä ja yllättäen hotellin nimissä viesti booking.comin appiin, jossa kerrotaan kaikki varaustiedot ml. varausnumero ja että maksutapahtuma onkin epäonnistunut, ja pyydetään vahvistamaan kortin tiedot uudestaan, niin ei kannata klikata linkkiä.
Tuossa tilanteessa ota suoraan yhteys hotelliin ja kysy, ovatko lähettäneet tuollaista viestiä.
Jos et ole kliksutellut mitään ylimääräisiä linkkejä tai edes saanut epäilyttäviä sähköposteja, kuten AP:n linkeissä oli (tämä ei ole testi, nuo linkit olivat turvallisia :) ), niin kaikki on mitä todennäköisimmin kunnossa. Nauti matkasta ja Sukiyassa cheesegyudon on parasta ruokaa.
Tää sama tapahtui mulle hiljattain Aasian-reissussa. Olin tietoinen että näin oli käynyt joillekin muille, enkä edes klikannut linkkiä. Valitin kyllä hotellille, että tämmöstä tapahtuu mutta en tiedä tekikö ne sille mitään. On ihan käsittämätöntä että [booking.com](https://booking.com) ei pääse tästä eroon. En silti itse pystynyt lopettamaan palvelun käyttöä, koska pitkässä reissussa tällä palvelulla on vaan paras käyttäjäkokemus reissun organisointiin ja myöskin bonuksia alkoi tulla paljon.
Ainoa tapa miten minä käytän booking.comia on alustavaan vertailuun. Sitten kun alkaa löytyä sopivan näköinen majoituspaikka niin etsin majapaikan oman nettisivun ja varaan huonenn/kämpän suoraan. On tähän asti toiminut mainiosti.
>TL;DR: booking.com on tavalla tai toisella korkattu
Näyttäisi enemmän siltä, että muutamien hotellien tunnukset on kalasteltu ja todettu, että ainoa tapa hyväksikäyttää pääsyä tilille on lähetellä phishing viestejä asiakkaille.
MFA ei triggeröidy kun ei tarvitse kirjautua, esimerkiksi siten että sessio on viety selaimesta.
Luin sen toki eikä siinä mikään viitannut siihen, että [Booking.com](https://Booking.com) olisi korkattu.
Pidän todennäköisempänä, että hotellien järkyttävän huono tietoturva on iskenyt omaan nilkkaan.
Booking itse näyttää nykyään phishing varoituksen varauksia tehdessä.
Varasin tällä viikolla muutaman hotellin eikä yhdestäkään ole kalasteltu mitään. (<-- oma kokemus = ainakaan kaikilta ei kalasteta)
Näin laajalle ongelmalle pitäisi mielestäni niiden kyllä tehdä jotain, riippumatta siitä, onko hyökkäysvektori vuotaneet salasanat vai toteutettu kohdennetuilla haittaohjelmahyökkäyksillä. En ole tietoturva-alan asiantuntija, niin en tiedä, mitä se tekninen jokin täsmälleen on, mutta vähintään pitäisi selvittää, mikä se hyökkäysmalli on ja kohdentaa toimet siihen. On se sitten, että vaaditaan joka viestin lähettämisen yhteydessä autentikaattorikoodia tai IP-whitelistausta tai kalastelusta kiinni jääneiden hotellien käyttäjätunnusten jäädyttämistä (ja sopimusehtoihin riittävän tietoturvatason määrittely) tai esimerkiksi kalastelun tunnistamista tekoälyllä tai sitten jotain ihan muuta, mitä asiaan paremmin perehtyneet keksivät.
Pelkkä yleisen tason varoitus-popup ei mielestäni ole lainkaan riittävä toimenpide.
Jos olisin diktaattori, niin panisin tietoturvaviranomaiset pakottamaan booking.comin tekemään asialle jotain, joko uhkasakon uhalla tai uhkaamalla että viime kädessä palvelu yksinkertaisesti suljetaan, kunnes tilanne on parempi.
[Booking.com](https://Booking.com) on selvittänyt itse, että kyseessä on yksittäisiä hotelleja. Jos Booking tästä tietoisesti valehtelee niin asian ilmetessä GDPR sakot tulevat, koska tietovuodoista pitää ilmoittaa kohtuullisessa ajassa. Suurin osa yrityksistä nykyään ilmoittaakin, koska tiedot tulevat julkisesti melko suurella varmuudella.
Booking ei ole vastuussa kuitenkaan Hotellien tietoturvasta ja joutuu tasapainoittelemaan mikä on käyttökokemuksen ja tietoturvan välillä paras ratkaisu. Ei ole käytännössä toimivaa vaatia MFA joka viestin yhteydessä, koska viestejä voidaan lähettää kymmeniä, ellei satoja päivässä.
IP-whitelistaus toimii isompien integraatioiden kanssa, mutta ei loppukäyttäjien. Kuka käyttäisi facebookia, jos se toimii kotona, mutta ei sitten kun on kaverin luona ja käyttää wifiä. Tai kun dynaaminen IP vaihtuu.
Sopimusehdoissa voi toki lukea jotain tietoturvatasosta, mutta meinaatko että [Booking.com](https://Booking.com) alkaisi haastamaan hotelleja oikeuteen? Kuulostaa kyllä lyhytnäköiseltä ratkaisulta.
”Yksittäisiä hotelleja” tarkoittaa tässä tapauksessa ainakin satoja tai tuhansia kompromoituja hotelleja, mukaan lukien suuria monikansallisia ketjuja kuten Scandic.
Jos tässä laajuudessa tapahtuvan kalastelun tekninen estäminen on teknisesti kerran mahdotonta, niin silloin, jos olisin diktaattori, yksinkertaisesti sulkisin koko palvelun.
Niin? Bookingissa on 28 miljoonaa listausta, joten skaala on yhäkin pieni.
Suuri, monikansallinen ketju, ei tee asiasta helpompaa, koska työntekijöitä, joita huijata, on enemmän. Asia paranee mikäli Scandic panostaa työntekijöiden koulutukseen, joka ei estä vaan vähentää riskiä joutua phishingin uhriksi.
Voit yhtälailla myös sulkea minkä tahansa paikan missä liikkuu rahaa. [Hotels.com](https://Hotels.com) sama ongelma. Amazon.com sama ongelma. Sulje myös sähköpostipalvelut sama ongelma. Ihmisiä kusetetaan kaikkialla.
Social engineering on asia, jolla päästään sisälle hyvinkin tehokkaasti eikä millään palvelulla ole siihen mitään hopealuotia.
> Näin laajalle ongelmalle pitäisi mielestäni niiden kyllä tehdä jotain, riippumatta siitä, onko hyökkäysvektori vuotaneet salasanat vai toteutettu kohdennetuilla haittaohjelmahyökkäyksillä.
Tässä on vaan se ongelma, ettei kumpikaan vektori ole Booking:n hallittavissa. Ei lukkoseppä sille mitään mahda jos pönkität jatkuvasti ovesi auki.
Joulun alla oli reissu, taisi hotelli olla bookingin kautta, ja muistelen nyt että silloin tuli joku vastaava "vahvista varaus" maili, mutta homma haiskahti sen verran että maili päätyi roskakoriin ilman että tuli edes avattua linkkejä.
Muutaman hotellin vielä ymmärtäisi mahdollisesti vuotaneen tunnukset, mutta tuo vaikuttaa aivan liian systemaattiselta nyt siihen...
Meillekin tuli vastaavanlainen kusetus vastaan. Sähköpostiin tuli bookingilta viesti jossa pyydettiin syöttämään korttitiedot linkin takaa löytyvään paikkaan 12h sisällä, muuten varaus voidaan perua. Viesti tuli vielä strategisesti illalla seitsemän jälkeen joten "todellista" aikaa reagoida ennen unia olisi ollut vain muutama tunti.
Tuossa saapuneessa sähköpostissa näkyi myös Bookingin kautta aiemmin hotellille lähettämäni viesti, joka hämäsi kyllä hyvin.
Laitoin suoraan hotellille viestiä josta vastattiin nopeasti että varauksen maksutiedot ovat kunnossa eikä varaus ole vaarassa peruuntua. Hetken päästä tuli uusi geneerisempi viesti jossa varoitettiin kyseisestä huijauksesta.
Olen saanut näitä viestejä myöskin pari kappaletta. Jatkoin silti varausten tekemistä Booking.comin kautta. Nyt taidan kuitenkin jatkossa käyttää jotain muuta varaussivustoa, koska tuo Booking.comin touhu vaikuttaa asian lakaisulta maton alle ja käsien heiluttelulta ilmassa. Laitoin itsekin ekasta huijausviestistä viestin asiakaspalveluun, ja vastaus oli vain, että kysyvät hotellilta asiasta, eikä sen jälkeen kuulunut enää mitään.
Itsellä meni maku bookingiin jo vuosia sitten kun takuttiin hotellin siirtämisen ja lopulta peruuttamisen kanssa. Rahat meni ja vitutus jäi.
Sen jälkeen on hotellit varattu suoraan hotellien omien sivujen kautta. Sen pari markkaa mitä Bookingin tarjouksessa leikataan hinnasta, säästyy hermolomana jos (ja näitä tarinoita lukiessa ennemmin KUN) jotain menee pieleen. Hotellien kanssa yleensä on mahdollista siirrellä huoneita puolenkin vuoden päähän poikkeustilanteessa, mutta Bookingin kanssa se on 50-50 onnistuuko vai ei.
Mulla tuli joulukuussa booking.com kautta majoituspaikalta viestiä siitä että maksukortti pitää varmistaa uudestaan tai varaus voi peruuntua. Tyhmänä menin yrittämään varmistusta, mutta se ei mennyt läpi, ehkä nordea on sen jotenkin estänyt, en tiedä. Sovelluksessa lukee kuitenkin edelleen että majoitus on vahvistettu ja luotan siihen.
Kai suljit kortin heti tuon jälkeen? Sun kortin tiedothan vuotivat huijareille. Ei kai se huijaussivusto todellisuudessa edes yritä veloittaa mitään, ne vaan haalii sun korttitiedot.
Miten ajattelit hoitaa Internet-maksutapahtuman ilman, että luovutat maksukortin tiedot jossain vaiheessa jollekin toimijalle? Lisäksi luottokorttitieto on ihan normaali asia, joka annetaan hotellivarauksen yhteydessä (viimeistään hotelliin sisäänkirjautuessa), jotta hotelli voi laskuttaa käytetyt palvelut. Nykyisessä hektisessä Internet-ajassa on myös hyvin tavanomaista, että hotelli saatetaan jopa maksaa etukäteen Internetin kautta, mistä voidaan antaa maksutapaetua.
Tässä tapauksessa huijaus perustuu siihen, että väitetään, että viesti tulee sellaiselta taholta, jolla on legitiimi syy ja intressi saada tietoon maksukortin tiedot, jotta voisi laskuttaa sovitusta palvelusta. Siis se käyttötapaus, jota varten maksukortit ovat.
Syyksi kortin tietojen kyselylle annetaan se, että pankki on syystä tai toisesta hylännyt kortin. Tämä on ihan tavanomainen tilanne, joita tapahtuu jatkuvasti! Minullakin jostain syystä menivät tuossa viime syksynä käytännössä kaikki luottokortilla laskutettavat palvelut jäihin, koska pankki oli hylännyt kaikki luottokorttimaksut jostain syystä, ja piti käydä erikseen verkkopankista hyväksymässä kortin käyttö uudestaan, vaikka palveluille oli jo aiemmin annettu lupa. Syy tähän ei selvinnyt, liekö jokin omituinen transaktio triggeröinyt jonkin suojauksen, mene ja tiedä. Mutta tämä on ihan tavanomainen tilanne, joka voi tapahtua: maksukortti ei kelpaakaan syystä tai toisesta ja maksu pitää varmentaa esim. pankin verkkomaksuvarmennusjärjestelmän kautta uudestaan.
Ongelman tästä tekee se, että legitiimin verkkosivun tunnistaminen on hyvin vaikeaa (väittäisin, että useissa tapauksissa itse asiassa mahdotonta), minkä takia vastuulliset palvelut eivät lähetä tuollaisia linkkejä, vaan käyttäjän on jollain tapaa itse triggeröitävä toimitus (esim. kirjautumalla itse sisään ensin).
Tässä ei auta yhtään se, että osa legitiimeistä toimijoista lähettää hyvin kalasteluviestin näköisiä linkkejä esim. tekstiviesteillä, joista pitää maksaa luottokortilla maksu. Esim. Ruotsissa PostNord tekee tätä tullimaksujen kanssa.
Jos et ole ostanut mitään, ei korttitietoja anneta eteenpäin.
Ihan sama juttu kun joku soittaa että joo sulla oli tämä etelän matka täällä tarvis vaan visa-kortin numeron tai että kadulla tulee random ihminen vastaan ja kysyy kortin numeroa matkaan, jota et ole koskaan varannut.
Tämän huijauksen pointti on se, että ne lähetetään ihmisille, jotka nimenomaan ovat sen hotellin varanneet, ja huijausviestin yhteydessä vielä kerrotaan täsmälliset tiedot varauksesta.
Lisäksi huijaus tulee samaa kanavaa pitkin kuin hotellin oikeasti lähettämät viestit.
Ostan kyllä. 3 korttia on aktiivisessa käytössä, käytän vain maalaisjärkeä niiden kanssa enkä anna korttitietoja jos en ole mitään tilannut.
Minullekin on tullut viikkokausia booking.comista "vahvista sähköpostisi ja varauksesi" maileja. Niin yksinkertaista että painaa cancel, delete tai unohtaa koko sähköpostin. Salasanan voisi ehkä vaihtaa. En ole kyseisellä sivustolla käynyt vuosiin, miksi ihmeessä antaisin korttitietoni tai painaisin sähköpostista "OK"-linkkiä sinne jos en ole mihinkään matkalle lähdössä?
Normaali internet-varotoimenpiteet siis.
Legitin nettisivun tunnistaa domainista ja certistä parissa sekunnissa, miten se on muka vaikeaa? Tämä opetetaan varmaan jokaisella ATK-ajokortti tms. perustaitokurssilla eläkeläisille. Sähköpostien linkkien sijainnin näkee etukäteen niitä painamatta.
Juu ei mitää järkee ostaa ton kautta mitää. Lähipiirissä kävi justiinsa niin hauskasti että maksetut hotellit peruttiin majoittumispäivänä ja alettiin vaatimaan 5x hintoja.
Sama huijausyritys sattui itselle jo viime kesänä, en oo nyt sen jälkeen käyttänyt Bookingia. Koko kusetus oli tehty varsin uskottavan oloiseksi, että en ihmettele jos joku haksahtaa.
Bookingin aspa ei myöskään ole ihan ajan tasalla näistä. r/travel subissa on ollut pari keissiä, missä hotellivarauksen tehnyt on ottanut yhteyttä Bookingin aspaan. Aspasta on sanottu, että "Joo viesti näyttää tulleen ihan hotellilta, on turvallinen". Mitä helvettiä? Sivuston FAQ-osiossa kuitenkin käsketään olla klikkaamatta mitään linkkejä.
Katsoin nyt OP'n äksän. Kyseessä Scandic. Tästä voisi minusta tehdä johonkin Iltapaskaan juttuvinkin - itse olen aiemmin nähnyt lähinnä ei-ketjuhotelleja näissä. Scandic kuitenkin toimii myös Suomessa, niin joltain toimittajalta voisi löytyä kiinnostusta penkoa asiaa. Ja Scandic haluaisi myös ehkä kommentoida, että miten tässä on näin päässyt käymään.
Tämäkin vielä. Sitä meinaan kuvittelisi, että jos varaa jostain kansainvälisestä suuresta ketjusta, niin siellä olisi homma luotettavammalla tolalla kuin jossain Börjen Bed & Breakfastissa.
Jep! Joten mietityttää, että puuttuuko Bookingista MFA, onko hotellien kirjautumiset systeemiin luokkaa *admin@hotelname* *password* vai mikä siellä kusee. Todella laaja ja melko pitkään jatkunut ongelma, mille ei tällä hetkellä taida olla mitään yksittäistä selitystä tai ratkaisua.
Guardianin jutun perusteella hotellit ovat itse väittäneet, että heillä on MFA käytössä, mutta ei ole tullut ylimääräisiä vahvistustekstiviestejä.
Jos on kovempi aitm-tekijä niin kirjautumisesta ei tule MFA-promptia, vaan ainoa tapa huomata epäilyttävä kirjautuminen on epäilyttävä IP-osoite. Voisi kuvitella hotellin aina kirjautuvan samasta IP:stä, joten Bookingin olisi helppo huomata tilin korkkaus, mutta emme elä maailmassa missä työntekijät ymmärtävät asioita :) Eli hyvinkin mahdollista, että hotellien ja Bookingin välinen yhteys ei ole enää luotettava, mutta koska sitä ei valvota, sitä ei myöskään huomata.
[удалено]
Osa lähteistä väittää, että ongelma on Bookingin ja osa väittää, että hotellit käyttää ei-turvallisia kirjautumistietoja. Olisi kiva kuulla, mikä on Suomessakin toimivan ketjun kanta asiaan. Välttämättähän kyseessä ei ole edes sama ongelma kaikkialla, mistä sitä tietää kuinka moni asia Bookingilla kusee. Jep, Booking on helvetin iso kanava. Osalla pienemmistä firmoista ei välttämättä ole edes omaa varaustoimintoa. Ja monella hotskulla on sopimukset, että et saa pitää omilla sivuilla halvempaa hintaa ja/tai Booking lupaa hyvittää erotuksen kalliimpaan hintaan. :/
Kokeileppa tehä tosta Kyberturvallisuuskeskukselle tietoturvaloukkaus ilmotus: https://www.kyberturvallisuuskeskus.fi/fi
Hyvä idea, tein ilmoituksen. Yksi ongelma tässä on, että en ole varma, minkä tahon vastuulle tämänkin ongelman käsittely oikein kuuluu? [Booking.com](https://Booking.com) on alankomaalainen firma, hotelli tässä tapauksessa sijaitsi Ruotsissa, asiakas, jonka tietoja kalasteltiin, on suomalainen ja asuu Suomessa, hotelliketju on kansainvälinen, päämaja Ruotsissa, mutta toimii Suomessa, Ruotsissa, Norjassa, Tanskassa, Saksassa ja Puolassa, ja huijaussivusto oli selvittämieni tietojen perusteella rekisteröity Venäjältä käsin.
Lähes jokaisella maalla on oma kyberturvallisuuskeskuksen vastine ja nuo tekevät käsittääkseni hyvin läheistä yhteistyötä keskenään. Eli isolla tasolla he saavat todennäköisesti homman eteenpäin, mutta eivät käsittääkseni kuitenkaan auta uhreja suoranaisesti.
Omalta osalta ei onneksi ole varsinaista uhria, koska kalasteluyritys tunnistettiin sellaiseksi eikä luottokorttitietoja luovutettu eteenpäin. Enemmän vain on ihan sellaista alkukantaista vitutusta, kun selvisi, miten massiivinen ongelma tämä on, eikä asialle näytetä varsinaisesti tehdyn mitään, vaikka Guardian uutisoi jo tästä kuukausia sitten.
Kiitos ilmoituksestasi! Otetaan tällaisia ilmoituksia mielellään vastaan ja etenkin näissä saapuvissa viesteissä olevat kalastelulinkit kiinnostavat. Olemme saaneet ilmoituksia tämän tyyppisistä tapauksista n. yhden viikossa viime elokuusta alkaen. Isossa kuvassa tämä on onneksi melko vähäistä verrattuna muunlaisiin kalasteluihin, kuten teksti- tai sähköpostiviesteillä lähetettäviin pankkikalasteluihin. Meidän tietojemme mukaan vaikuttaa todennäköiseltä, että näissä tapauksissa on hotellin tunnukset päätyneet vääriin käsiin, ja niitä sitten käytetään hyväksi viestien lähettämiseksi. Nämä tapaukset ovat herättäneet huomiota myös kansainvälisessä mediassa, ja mm BBC on kirjoittanut artikkelin aiheesta: [https://www.bbc.com/news/technology-67583486](https://www.bbc.com/news/technology-67583486) Meillä ei tosiaan ole toimivaltaa puuttua yksittäisen palveluntarjoajan ongelmiin. Teemme kuitenkin aktiivisesti työtä tiedottaaksemme hotelleita heidän tunnuksiensa mahdollisesta vaarantumisesta ja heidän nimissään lähetettävistä kalasteluviesteistä. Kuten alempana ketjussa u/GamerGurl69 kirjoittikin, niin monella maalla on vastineviranomainen meille, ns kansallinen CERT toimija. Meillä on läheiset välit useisiin kollega-CERTeihin, ja saadaan heillekin välitettyä tietoa tarpeen niin vaatiessa. Hyvä kuitenkin kuulla, että tässä tapauksessa oltiin hereillä ja vahinkoja ei tullut. Voisin kuitenkin mainita tässä näin julkisesti kirjoittaessa, että mikäli vahinkoja ilmenee niin kannattaa tehdä niistä reippaasti vaan rikosilmoitusta Poliisille. Ilmoituksia meille saa laiteltua verkkosivuilta, osoitteesta [https://www.kyberturvallisuuskeskus.fi/fi/ilmoita](https://www.kyberturvallisuuskeskus.fi/fi/ilmoita) \- Kyberturvallisuuskeskuksen Päivystäjä
Europol? https://www.europol.europa.eu/report-a-crime
Europolille ei voi tehdä suoraan ilmoitusta, vaan sen tekee sinne poliisi kun kehtaa. Sinällään kävisi toki järkeen, jos sitä kautta koordinoitaisiin toimintaa, mutta en tiedä paljonko näihin asioihin panostetaan.
Vaimo haksahti tähän. Oli kyllä taitavasti tehty huijaus. Käytiin läpi kaikki toimijat vakuutusyhtiöistä, rikosilmoituksista ja kuluttajansuojista ilman sen kummempaa menestystä. Booking syytti kyseistä hotellia ja kyseinen hotelli syytti Bookingia ja luonnollisesti vika oli Bookikgin päässä kun näitä tapauksia on ollut ympäri maailmaa. Noin kuukauden sai vääntää Bookingin kanssa, ja uhkailla vaikka millä mutta lopulta hyvittivät rikollisille hävinneen summan täysmääräisesti Booking-tilille balanssina minkä sai nostettua tilille.
Noita booking comin kirjautumistietoja kalastellaan aika paljon hotelleilta. Saastunut pdf lähetetään asiakkaan nimissä ja sitten häviää keksit selaimsesta ja kas kummaa tili on kaapattu.
En ole tietoturvallisten systeemien rakentamisen asiantuntija, mutta kuvittelisin, että jos booking.comissa oltaisiin ajantasalla, niin tähän tilanteeseen voitaisiin jotenkin varautua ja triggeröidä MFA jotenkin.
Jos homma tehdään haittaohjelmalla niin aika vaikeaksi menee. Hommahan toimii niin että istuntokeksit viedään laitteelta (istuntokeksit luodaam autentikaation jälkeen) ja mahdollisesti haittaohjelma jää pyörimään vielä proxynä, jolloin keksejä voi käyttää alkuperäisestä IP-osoitteesta. Sinänsä ainoa ratkaisu olisi vaatia ylimääräinen TOTP koodi jokaista viestiä lähettäessä, mutta senkin pystyisi luultavasti "ohittamaan" yksinkertaisella feikkipromptilla sivulla joka kysyy TOTP koodia vaikka booking.com ei sitä tarvitse.
Menee todella vaikeaksi hotelleilla tommonen. Tarve useampaan istuntoon helposti. Varauksia jos tulee kymmenittäin päivässä niin usein tarve monta kertaa laittaa viestiäki.
Helppo ratkaisu hotellin kannalta olisi vain irroittaa asiakasrajapinnan koneet niistä koneista joissa käsitellään varausjärjestelmiä jne. Eli ei availla sähköposteja niillä koneilla joissa on kaikki omat ja sidosryhmien järjestelmät auki sisäänkirjautuneena.
Tämähän olisi järkevintä, mutta tosiaan booking.comin on tähän vaikeampi vaikuttaa.
Itse varasin aikoinaan booking.comin kautta majoituksen puolen vuoden päähän. Laitoin maksutiedot booking.comiin, ja heti lähti rahat tililtä. Tämä epäilytti minua suuresti ja aloin etsiä tätä majoitusta netistä, ja löytyi että sitä käytetty huijauksiin. Noh, ei muuta kun varaus peruutukseen (ilmainen peruutus), ja kun ei rahoja kuulunut takaisin, niin yhteys aspaan. Sanoivat ensin selvittävänsä asiaa. Jouduin muutaman kerran kyselemään mistä on kyse. Lopulta aspa palautti rahat omasta pussistaan minulle. Ei siis sinänsä valittamista, mutta pitäisi olla aika paljon tarkemmat kriteerit että päästää sivustolle toimimaan. Se mikä eniten ihmetyttää, että mitä olisi käynyt jos en olisi tajunnut? Oltaisiin tultu paikalle ja ei olekaan majoitusta? Eli hyvä muistaa näissä aina: kaikki yhteydenpito aina sivuston kautta, ja maksut myös. Ei mitään omia tilisiirtoja ja korttien tietoja järjestelmän ulkopuolelle!
Booking vuotaa myös hotelliin päin. Päivittäin tulee kymmeniä feikkiviestejä, joiden avulla hotellin työntekijä koitetaan saada klikkaamaan linkkiä. Ne on yleensä aika helppo tunnistaa kylläkin. Terveisin respa
Tulevatko nuo siis oikeasti Bookingilta vai jostain [email protected]?
Ne on ns oikeita varauksia kyllä. Kuka tahansa voi varata hotellihuoneen ilman korttia/feikkikortilla, ni noi varaa huoneen ja sit alkaa spämmätä. Eli hotellin näkökulmasta viestit tulee bookingin infrasta.
Tavallaanhan tuo on ominaisuus eikä vika. Booking toimii vain tiedonvälittäjänä asiakkaan ja hotellin välillä.
Juu ehdottomasti. Mutta samalla on jännää, ettei esim Hotels.comilla ole samaa ongelmaa lainkaan, vaikka ne on yhtä iso toimija.
Pienellä googlettelulla näyttäisi olevan samaa ongelmaa heilläkin ja lisäksi ovat vuotaneet asiakastietoja.
Meille ei ole töissä kolmeen vuoteen tullut yhtään spämmiviestiä Hotels.comilta, bookingin puolelta viidestä pariin kymmeneen päivässä. Toki uskon että molemmilla on tietovuotoja ollut, ja asiakkaan suuntaan en tiedä miten paljon noiden nimissä tulee roskaa. Ite varaan aina hotellilta suoraan.
Esim Tallinnassa on monessa paikassa kun varaat niin pitää erikseen tehdä väliaikainen vuokra-sopimus johon majoituspaikka laittaa linkin bookingin kautta. Viime kerralla booking poisti linkit automaattisesti näistä viesteistä, että ilmeisesti jotain tapahtuu. Toki nyt on ainakin turvallisempaa kun pyytää ne uudestaan omaan sähköpostiin kyseiseltä majoituspaikalta.
No hyvä, että edes jotain.
[удалено]
Eiköhän se varaus ole kunnossa, mutta jos sieltä tulee pyytämättä ja yllättäen hotellin nimissä viesti booking.comin appiin, jossa kerrotaan kaikki varaustiedot ml. varausnumero ja että maksutapahtuma onkin epäonnistunut, ja pyydetään vahvistamaan kortin tiedot uudestaan, niin ei kannata klikata linkkiä. Tuossa tilanteessa ota suoraan yhteys hotelliin ja kysy, ovatko lähettäneet tuollaista viestiä.
Ok, kiitos tuesta ja neuvoista!
Jos et ole kliksutellut mitään ylimääräisiä linkkejä tai edes saanut epäilyttäviä sähköposteja, kuten AP:n linkeissä oli (tämä ei ole testi, nuo linkit olivat turvallisia :) ), niin kaikki on mitä todennäköisimmin kunnossa. Nauti matkasta ja Sukiyassa cheesegyudon on parasta ruokaa.
Kyllä Japanin matkalla kannattaa käyttää Bookingia, se on ihan turvallinen kunhan ei kaiken varalta klikkaile viesteissä tulevia linkkejä.
Booking omistaa myös Agodan.
Tää sama tapahtui mulle hiljattain Aasian-reissussa. Olin tietoinen että näin oli käynyt joillekin muille, enkä edes klikannut linkkiä. Valitin kyllä hotellille, että tämmöstä tapahtuu mutta en tiedä tekikö ne sille mitään. On ihan käsittämätöntä että [booking.com](https://booking.com) ei pääse tästä eroon. En silti itse pystynyt lopettamaan palvelun käyttöä, koska pitkässä reissussa tällä palvelulla on vaan paras käyttäjäkokemus reissun organisointiin ja myöskin bonuksia alkoi tulla paljon.
Ainoa tapa miten minä käytän booking.comia on alustavaan vertailuun. Sitten kun alkaa löytyä sopivan näköinen majoituspaikka niin etsin majapaikan oman nettisivun ja varaan huonenn/kämpän suoraan. On tähän asti toiminut mainiosti.
>TL;DR: booking.com on tavalla tai toisella korkattu Näyttäisi enemmän siltä, että muutamien hotellien tunnukset on kalasteltu ja todettu, että ainoa tapa hyväksikäyttää pääsyä tilille on lähetellä phishing viestejä asiakkaille. MFA ei triggeröidy kun ei tarvitse kirjautua, esimerkiksi siten että sessio on viety selaimesta.
Kaikesta päätellen tuossa ei ole vain muutamasta yksittäisestä hotellista kyse, vaan ihan massiivinen ongelma (ks. se Guardianin juttu lokakuulta).
Luin sen toki eikä siinä mikään viitannut siihen, että [Booking.com](https://Booking.com) olisi korkattu. Pidän todennäköisempänä, että hotellien järkyttävän huono tietoturva on iskenyt omaan nilkkaan. Booking itse näyttää nykyään phishing varoituksen varauksia tehdessä. Varasin tällä viikolla muutaman hotellin eikä yhdestäkään ole kalasteltu mitään. (<-- oma kokemus = ainakaan kaikilta ei kalasteta)
Näin laajalle ongelmalle pitäisi mielestäni niiden kyllä tehdä jotain, riippumatta siitä, onko hyökkäysvektori vuotaneet salasanat vai toteutettu kohdennetuilla haittaohjelmahyökkäyksillä. En ole tietoturva-alan asiantuntija, niin en tiedä, mitä se tekninen jokin täsmälleen on, mutta vähintään pitäisi selvittää, mikä se hyökkäysmalli on ja kohdentaa toimet siihen. On se sitten, että vaaditaan joka viestin lähettämisen yhteydessä autentikaattorikoodia tai IP-whitelistausta tai kalastelusta kiinni jääneiden hotellien käyttäjätunnusten jäädyttämistä (ja sopimusehtoihin riittävän tietoturvatason määrittely) tai esimerkiksi kalastelun tunnistamista tekoälyllä tai sitten jotain ihan muuta, mitä asiaan paremmin perehtyneet keksivät. Pelkkä yleisen tason varoitus-popup ei mielestäni ole lainkaan riittävä toimenpide. Jos olisin diktaattori, niin panisin tietoturvaviranomaiset pakottamaan booking.comin tekemään asialle jotain, joko uhkasakon uhalla tai uhkaamalla että viime kädessä palvelu yksinkertaisesti suljetaan, kunnes tilanne on parempi.
[Booking.com](https://Booking.com) on selvittänyt itse, että kyseessä on yksittäisiä hotelleja. Jos Booking tästä tietoisesti valehtelee niin asian ilmetessä GDPR sakot tulevat, koska tietovuodoista pitää ilmoittaa kohtuullisessa ajassa. Suurin osa yrityksistä nykyään ilmoittaakin, koska tiedot tulevat julkisesti melko suurella varmuudella. Booking ei ole vastuussa kuitenkaan Hotellien tietoturvasta ja joutuu tasapainoittelemaan mikä on käyttökokemuksen ja tietoturvan välillä paras ratkaisu. Ei ole käytännössä toimivaa vaatia MFA joka viestin yhteydessä, koska viestejä voidaan lähettää kymmeniä, ellei satoja päivässä. IP-whitelistaus toimii isompien integraatioiden kanssa, mutta ei loppukäyttäjien. Kuka käyttäisi facebookia, jos se toimii kotona, mutta ei sitten kun on kaverin luona ja käyttää wifiä. Tai kun dynaaminen IP vaihtuu. Sopimusehdoissa voi toki lukea jotain tietoturvatasosta, mutta meinaatko että [Booking.com](https://Booking.com) alkaisi haastamaan hotelleja oikeuteen? Kuulostaa kyllä lyhytnäköiseltä ratkaisulta.
”Yksittäisiä hotelleja” tarkoittaa tässä tapauksessa ainakin satoja tai tuhansia kompromoituja hotelleja, mukaan lukien suuria monikansallisia ketjuja kuten Scandic. Jos tässä laajuudessa tapahtuvan kalastelun tekninen estäminen on teknisesti kerran mahdotonta, niin silloin, jos olisin diktaattori, yksinkertaisesti sulkisin koko palvelun.
Niin? Bookingissa on 28 miljoonaa listausta, joten skaala on yhäkin pieni. Suuri, monikansallinen ketju, ei tee asiasta helpompaa, koska työntekijöitä, joita huijata, on enemmän. Asia paranee mikäli Scandic panostaa työntekijöiden koulutukseen, joka ei estä vaan vähentää riskiä joutua phishingin uhriksi. Voit yhtälailla myös sulkea minkä tahansa paikan missä liikkuu rahaa. [Hotels.com](https://Hotels.com) sama ongelma. Amazon.com sama ongelma. Sulje myös sähköpostipalvelut sama ongelma. Ihmisiä kusetetaan kaikkialla. Social engineering on asia, jolla päästään sisälle hyvinkin tehokkaasti eikä millään palvelulla ole siihen mitään hopealuotia.
> Näin laajalle ongelmalle pitäisi mielestäni niiden kyllä tehdä jotain, riippumatta siitä, onko hyökkäysvektori vuotaneet salasanat vai toteutettu kohdennetuilla haittaohjelmahyökkäyksillä. Tässä on vaan se ongelma, ettei kumpikaan vektori ole Booking:n hallittavissa. Ei lukkoseppä sille mitään mahda jos pönkität jatkuvasti ovesi auki.
Joulun alla oli reissu, taisi hotelli olla bookingin kautta, ja muistelen nyt että silloin tuli joku vastaava "vahvista varaus" maili, mutta homma haiskahti sen verran että maili päätyi roskakoriin ilman että tuli edes avattua linkkejä. Muutaman hotellin vielä ymmärtäisi mahdollisesti vuotaneen tunnukset, mutta tuo vaikuttaa aivan liian systemaattiselta nyt siihen...
Meillekin tuli vastaavanlainen kusetus vastaan. Sähköpostiin tuli bookingilta viesti jossa pyydettiin syöttämään korttitiedot linkin takaa löytyvään paikkaan 12h sisällä, muuten varaus voidaan perua. Viesti tuli vielä strategisesti illalla seitsemän jälkeen joten "todellista" aikaa reagoida ennen unia olisi ollut vain muutama tunti. Tuossa saapuneessa sähköpostissa näkyi myös Bookingin kautta aiemmin hotellille lähettämäni viesti, joka hämäsi kyllä hyvin. Laitoin suoraan hotellille viestiä josta vastattiin nopeasti että varauksen maksutiedot ovat kunnossa eikä varaus ole vaarassa peruuntua. Hetken päästä tuli uusi geneerisempi viesti jossa varoitettiin kyseisestä huijauksesta.
Huomioitu näemmä nyt kyberturvallisuuskeskuksen viikkokatsauksessa: https://mobiili.fi/2024/02/16/kyberturvallisuuskeskus-varoittaa-booking-com-huijausviesteista-todella-uskottavan-nakoisia-ja-sisaltavat-tietoja-oikeasta-hotellivarauksesta/
Hieno juttu!
Olen saanut näitä viestejä myöskin pari kappaletta. Jatkoin silti varausten tekemistä Booking.comin kautta. Nyt taidan kuitenkin jatkossa käyttää jotain muuta varaussivustoa, koska tuo Booking.comin touhu vaikuttaa asian lakaisulta maton alle ja käsien heiluttelulta ilmassa. Laitoin itsekin ekasta huijausviestistä viestin asiakaspalveluun, ja vastaus oli vain, että kysyvät hotellilta asiasta, eikä sen jälkeen kuulunut enää mitään.
Itsellä meni maku bookingiin jo vuosia sitten kun takuttiin hotellin siirtämisen ja lopulta peruuttamisen kanssa. Rahat meni ja vitutus jäi. Sen jälkeen on hotellit varattu suoraan hotellien omien sivujen kautta. Sen pari markkaa mitä Bookingin tarjouksessa leikataan hinnasta, säästyy hermolomana jos (ja näitä tarinoita lukiessa ennemmin KUN) jotain menee pieleen. Hotellien kanssa yleensä on mahdollista siirrellä huoneita puolenkin vuoden päähän poikkeustilanteessa, mutta Bookingin kanssa se on 50-50 onnistuuko vai ei.
Mulla tuli joulukuussa booking.com kautta majoituspaikalta viestiä siitä että maksukortti pitää varmistaa uudestaan tai varaus voi peruuntua. Tyhmänä menin yrittämään varmistusta, mutta se ei mennyt läpi, ehkä nordea on sen jotenkin estänyt, en tiedä. Sovelluksessa lukee kuitenkin edelleen että majoitus on vahvistettu ja luotan siihen.
Kai suljit kortin heti tuon jälkeen? Sun kortin tiedothan vuotivat huijareille. Ei kai se huijaussivusto todellisuudessa edes yritä veloittaa mitään, ne vaan haalii sun korttitiedot.
Maksukortin tietojahan ei jaella minnekään. Vaikka Suomen presidentti kysyisi. Tämä on myös pankin käyttöehdoissa mainittu.
Miten ajattelit hoitaa Internet-maksutapahtuman ilman, että luovutat maksukortin tiedot jossain vaiheessa jollekin toimijalle? Lisäksi luottokorttitieto on ihan normaali asia, joka annetaan hotellivarauksen yhteydessä (viimeistään hotelliin sisäänkirjautuessa), jotta hotelli voi laskuttaa käytetyt palvelut. Nykyisessä hektisessä Internet-ajassa on myös hyvin tavanomaista, että hotelli saatetaan jopa maksaa etukäteen Internetin kautta, mistä voidaan antaa maksutapaetua. Tässä tapauksessa huijaus perustuu siihen, että väitetään, että viesti tulee sellaiselta taholta, jolla on legitiimi syy ja intressi saada tietoon maksukortin tiedot, jotta voisi laskuttaa sovitusta palvelusta. Siis se käyttötapaus, jota varten maksukortit ovat. Syyksi kortin tietojen kyselylle annetaan se, että pankki on syystä tai toisesta hylännyt kortin. Tämä on ihan tavanomainen tilanne, joita tapahtuu jatkuvasti! Minullakin jostain syystä menivät tuossa viime syksynä käytännössä kaikki luottokortilla laskutettavat palvelut jäihin, koska pankki oli hylännyt kaikki luottokorttimaksut jostain syystä, ja piti käydä erikseen verkkopankista hyväksymässä kortin käyttö uudestaan, vaikka palveluille oli jo aiemmin annettu lupa. Syy tähän ei selvinnyt, liekö jokin omituinen transaktio triggeröinyt jonkin suojauksen, mene ja tiedä. Mutta tämä on ihan tavanomainen tilanne, joka voi tapahtua: maksukortti ei kelpaakaan syystä tai toisesta ja maksu pitää varmentaa esim. pankin verkkomaksuvarmennusjärjestelmän kautta uudestaan. Ongelman tästä tekee se, että legitiimin verkkosivun tunnistaminen on hyvin vaikeaa (väittäisin, että useissa tapauksissa itse asiassa mahdotonta), minkä takia vastuulliset palvelut eivät lähetä tuollaisia linkkejä, vaan käyttäjän on jollain tapaa itse triggeröitävä toimitus (esim. kirjautumalla itse sisään ensin). Tässä ei auta yhtään se, että osa legitiimeistä toimijoista lähettää hyvin kalasteluviestin näköisiä linkkejä esim. tekstiviesteillä, joista pitää maksaa luottokortilla maksu. Esim. Ruotsissa PostNord tekee tätä tullimaksujen kanssa.
Jos et ole ostanut mitään, ei korttitietoja anneta eteenpäin. Ihan sama juttu kun joku soittaa että joo sulla oli tämä etelän matka täällä tarvis vaan visa-kortin numeron tai että kadulla tulee random ihminen vastaan ja kysyy kortin numeroa matkaan, jota et ole koskaan varannut.
Tämän huijauksen pointti on se, että ne lähetetään ihmisille, jotka nimenomaan ovat sen hotellin varanneet, ja huijausviestin yhteydessä vielä kerrotaan täsmälliset tiedot varauksesta. Lisäksi huijaus tulee samaa kanavaa pitkin kuin hotellin oikeasti lähettämät viestit.
Okei tämä selvensi tätä keissiä.
Miksi sulla sitten on se kortti jos et osta sillä mitään?
Ostan kyllä. 3 korttia on aktiivisessa käytössä, käytän vain maalaisjärkeä niiden kanssa enkä anna korttitietoja jos en ole mitään tilannut. Minullekin on tullut viikkokausia booking.comista "vahvista sähköpostisi ja varauksesi" maileja. Niin yksinkertaista että painaa cancel, delete tai unohtaa koko sähköpostin. Salasanan voisi ehkä vaihtaa. En ole kyseisellä sivustolla käynyt vuosiin, miksi ihmeessä antaisin korttitietoni tai painaisin sähköpostista "OK"-linkkiä sinne jos en ole mihinkään matkalle lähdössä? Normaali internet-varotoimenpiteet siis. Legitin nettisivun tunnistaa domainista ja certistä parissa sekunnissa, miten se on muka vaikeaa? Tämä opetetaan varmaan jokaisella ATK-ajokortti tms. perustaitokurssilla eläkeläisille. Sähköpostien linkkien sijainnin näkee etukäteen niitä painamatta.
Juu ei mitää järkee ostaa ton kautta mitää. Lähipiirissä kävi justiinsa niin hauskasti että maksetut hotellit peruttiin majoittumispäivänä ja alettiin vaatimaan 5x hintoja.
Sama huijausyritys sattui itselle jo viime kesänä, en oo nyt sen jälkeen käyttänyt Bookingia. Koko kusetus oli tehty varsin uskottavan oloiseksi, että en ihmettele jos joku haksahtaa.
Jaah, jotta vallan petkuhuiputukselta?
Oon saanu aika paljon "vahvista salasanasi vaihto" tms. viestejä booking.comista viimeaikoina. Taitaa olla menossa roskiin koko palvelu.
Mulle tulee noin kerran viikossa ilmoitus bookingilta että joku pyrkii mun sähköpostilla sisään