Navnet på hotellet, datoene for oppholdet og et telefonnummer er nok til å forvandle en enkel, tilsynelatende ufarlig melding eller samtale til en kunstferdig skapt nettfelle. Dette er det underliggende prinsippet reservasjonskapring – på italiensk “booking hijacking” – en svindelteknikk der kriminelle utnytter reell informasjon knyttet til online reisebestillinger å overbevise ofrene om å foreta betalinger til uredelige kontoer eller å gi fra seg sensitive data. Fenomenet kom tilbake til søkelyset etter BBC rapporterte detaljene til en IT-brudd som involverer Booking.com (også bekreftet av plattformen) og som tillot nettkriminelle tilgang til sensitive data som navn, e-postadresse og telefonnummer. La oss prøve å forstå hvordan svindelen fungerer og hvordan du kan forsvare deg selv.
Hvordan reservasjonskapring fungerer
Styrken til denne svindelen ligger ikke så mye i dens tekniske sofistikering, men i den psykologiske manipulasjonen som svindlerne klarer å utføre takket være teknikken til reservasjonskapring. Å motta en telefon fra noen som kjenner navnet på eiendommen vi skal bo på, innsjekkingstiden eller til og med reservasjonsnummeret vårt gjør oss naturlig nok mer tilbøyelige til å stole på det. Nettkriminelle utnytter denne mekanismen for å simulere tilsynelatende autentisk kundestøttekommunikasjon. De gjør nesten alltid dette for å lure det potensielle offeret til å utføre en hastebankoverføring, skriv inn kortopplysningene dine på nytt eller fullføre en «nødvendig» betaling for å bekrefte bestillingen.
La oss være klare: Reservasjonskapring ble ikke født i dag. Det er en teknikk som har eksistert lenge. Tilgjengeligheten av data innhentet gjennom databrudd – IT-brudd med lekkasje av informasjon (se siste tilfelle av Booking.comallerede nevnt ovenfor) – gjør imidlertid disse forsøkene stadig mer effektive. Tidligere prøvde svindlere hovedsakelig å kompromittere kontoene til overnattingssteder for å sende falske meldinger til kunder direkte fra bestillingsplattformene. I dag kan de også kontakte ofrene direkteved å bruke informasjon som allerede er stjålet andre steder.
I følge det som ble rapportert av BBCbegynte noen brukere å motta mistenkelig kommunikasjon kort tid etter nyheten om angrepet. Booking.com sa at den har oppdatert PIN-koder av reservasjoner og å ha potensielt berørte brukere varslet via e-postog inviterer dem til å ta hensyn til mulige phishing-forsøk.
Svindelordningen er ganske tilbakevendende. Du mottar en tekstmelding, e-post eller telefon fra noen som hevder å jobbe for hotellet, flyselskapet eller leiebiltjenesten knyttet til reisen din. Og kommunikasjonen fokuserer nesten alltid på et presserende problem som skal løses: en mislykket betaling, en kortsjekk som skal utføres eller behovet for å bekrefte bestillingen på nytt for å unngå kansellering. DE’element av hastverk det er sentralt, fordi det tar sikte på å redusere sannsynligheten for at brukeren rolig vil sjekke informasjonen og innpode sistnevnte et visst press knyttet til å ikke ville støte på problemer under reisen.
For å gjøre svindelen mer realistisk, kriminelle samler inn detaljer fra flere kilder. I tillegg til data innhentet gjennom cyberbrudd, spiller kompromitterte e-poster og innhold publisert på sosiale medier inn. Hvis «smuler» har blitt lagt igjen av brukeren på Instagram, Facebook og TikTok angående de kommende høytidene, kan nettkriminelle gå og samle dem for å gjøre svindelforsøket mer effektivt.
Hvordan forsvare deg selv og unngå svindel
Men hvis reservasjonskapring er så lumsk, kan vi virkelig gjøre noe for å forsvare oss? Selvfølgelig ja. Eksperter på nettsikkerhet indikerer det det mest effektive mottiltaket er uavhengig verifisering. Hvis noen kontakter oss på vegne av et overnattingssted som ber om betaling, er den første tingen å gjøre å avslutte samtalen eller avbryte samtalen og kontakte hotellet direkte via de offisielle kanalene som er angitt på den offisielle nettsiden eller i bestillingsbekreftelsen. Dette enkle trinnet er ofte nok til å avsløre svindelforsøket.
De etterspurte betalingsmåtene er også et tegn på at man ikke må overse. Booking.com har gjort det klart for BBC at de aldri vil be kunder om å oppgi kortdetaljer via telefon, e-post, SMS eller meldingsapper (som WhatsApp), og heller ikke foreta andre overføringer enn de som er spesifisert i de offisielle bestillingsbetingelsene. Generelt bør enhver forespørsel som flytter samtalen utenfor offisielle kanaler sees på med mistenksomhet.
