Rezerwowałem wakacyjny nocleg i hakerzy próbowali oszukać mnie na 1500 euro

W tekście umieszczono linki reklamowe naszego partnera.

Zaczniemy od anegdotki. Jak zapewne wiele osób czytających ten tekst, zarezerwowałem wakacyjny nocleg przez Airbnb. W pewne sobotnie popołudnie, dwa miesiące przed zarezerwowanym terminem, otrzymałem na mejla powiadomienie o wiadomości od gospodarza. Dość osobliwej wiadomości o bliżej nieokreślonym problemie z rezerwacją:

Znajdujący się w niej link prowadził do strony udającej stronę systemu płatniczego banku, która próbowała wyciągnąć ze mnie 1500 euro. Jest to więc wiadomość wysłana przez internetowych naciągaczy – "hakerów", którym udało się uzyskać dostęp do konta gospodarza na Airbnb i wykorzystać je do kontaktowania się z osobami z rezerwacją. A teraz posłuży nam jako materiał dydaktyczny.

Nietypowy termin wysyłki, nieokreślony problem i tworzenie presji czasu

Pierwsza rzecz, która zwróciła moją uwagę, to czas wysyłki tej wiadomości: dla gospodarza środek nocy, dla mnie środek soboty. Nie zawsze musi to oznaczać, że coś jest nie tak, bo czasem wiadomości tego typu faktycznie są wysyłane przez automaty, które mogą to robić w dowolnym momencie. Jednak z drugiej strony oczywiste jest, że hakerzy ruszają na łowy w czasie, gdy jest najmniejsze prawdopodobieństwo zwrócenia uwagi administratora przejętego konta i największe prawdopodobieństwo, że adresat od razu przejdzie do akcji.

Druga rzecz, która zwróciła moją uwagę, jest bardziej jednoznaczna – typowa w oszustwach tego typu próba wywarcia na adresacie presji czasu. W tym przypadku oszuści próbują osiągnąć ten cel informacją o nieokreślonym problemie z rezerwacją i ostrzeżeniem, że jeśli się czegoś nie zrobi w ciągu sześciu godzin, to rezerwacja może zostać anulowana. Żadne szanujące się miejsce zajmujące się turystyką nie napisze takiej wiadomości.

"Zaszyfrowany" link w krzaki

Kolejnym typowym elementem takich oszustw jest link prowadzący na zewnątrz. Airbnb i Booking zawsze podkreślają, żeby nie klikać w żadne linki prowadzące na zewnątrz do jakichkolwiek opłat, bo wszystkie opłaty za nocleg są obsługiwane w ramach tych serwisów. I jest to żelazna reguła, której nie należy ignorować. Ta wiadomość jest napisana w dość zabawny sposób: że "zaszyfrowany", w pełny bezpieczny link nie prowadzi do żadnej płatności – no, chyba że mamy do czynienia z jakimś "rzadkim przypadkiem", gdy jednak prowadzi do jakiejś opłaty autoryzacyjnej. Jest to typowa zagrywka socjotechniczna, mająca wywołać fałszywe poczucie bezpieczeństwa.

W tym przypadku link prowadził do strony, która wyglądała bardzo podobnie do typowych stron obsługujących płatności internetowe (przecież takie sytuacje miały być bardzo rzadkie!), na których wpisuje się informacje o karcie płatniczej. Tutaj była ona bardzo ładnie skopiowana, miała logo Airbnb i adres URL sugerujący, że trafiliśmy w miejsce w jakiś sposób powiązane z gospodarzem. Po wpisaniu danych karty płatniczej okazywało się, że "gospodarz" próbuje obciążyć kartę płatniczą na około 1500 euro (oczywiście tylko "na chwilę"). Co ciekawe, po wpisaniu danych karty pojawia się przycisk, który służy do potwierdzenia, że transakcja została zaakceptowana w aplikacji bankowej, co z jednej strony jest kolejnym narzędziem do wywierania podświadomej presji, a z drugiej jest to niejako zapewnienie dla oszustów, że podane informacje są prawdziwe. Co przy okazji prowadzi nas do kolejnego przypomnienia: Jeśli kiedykolwiek wpisałeś podejrzanej stronie prawdziwe dany karty płatniczej, to nawet jeśli odrzuciłeś oszukańczą transakcję, czeka cię wymiana karty, bo informacje, które właśnie zostały przekazane oszustom, są same w sobie bardzo wartościowe.

Krótki poradnik wakacyjnego bezpieczeństwa

Eksperyment ten stworzony na podstawie "materiału dydaktycznego" dostarczonego przez pełnoetatowych internetowych oszustów podsumuję kilkoma podstawowymi radami dla wszystkich osób rezerwujących noclegi z użyciem popularnych platform internetowych, takich jak Booking i Airbnb:

1. Sam fakt, że jakaś wiadomość została wysłana z oficjalnego konta dobrze ocenianego gospodarza, nie oznacza, że można bezgranicznie ufać zawartych w niej informacjom.

2. Oszuści często posługują się ogólnikami i próbują wywrzeć presję czasu. Jeśli masz wątpliwości, skontaktuj się bezpośrednio z gospodarzem, aby wyjaśnił ci sprawę.

3. Jeśli otrzymujesz w wiadomości link prowadzący do strony zachęcającej do opłacenia czegoś lub podania informacji związanych z płatnością internetową, jest to oszustwo.

4. Jeśli z jakiegoś powodu wpisałeś na stronie, która okazała się oszustwem, dane swojej karty płatniczej, to nawet jeśli transakcja została odrzucona, czeka cię wymiana karty. Ostatnią linią obrony w takiej sytuacji może być korzystanie z doładowywanych wirtualnych kart jednorazowych, na przykład Revoluta, ale nic nie zastąpi zdrowego rozsądku.

Na koniec życzę wszystkim bezpiecznych i udanych wakacji! ;)