Niz velikih phishing kampanja u Hrvatskoj, probijena baza Phobsa koji daje usluge velikim hotelskim lancima

Turistički sektor ponovno se našao na meti sofisticiranih kibernetičkih napada, ovaj put kroz kanale koji se svakodnevno koriste za rezervacije smještaja i komunikaciju s gostima. Napadači sve češće ciljaju booking engine sustave, hotelske platforme i korisničke račune turističkih tvrtki kako bi došli do podataka, novca ili pristupa daljnjoj komunikaciji s gostima.

Nakon napada kojima je posljednjih mjesecima izložen Booking.com tu se sada našao i domaći booking engine tvrtke Phobs, čija se rješenja koriste u hotelskom i turističkom sektoru za online rezervacije, prodaju i upravljanje smještajnim kapacitetima.

 Takvi incidenti pokazuju koliko su sustavi za rezervacije osjetljiva točka digitalnog turizma, jer se preko njih svakodnevno razmjenjuju podaci o gostima, rezervacijama, terminima dolaska, kontaktima i plaćanjima. Za napadače je upravo takav kontekst posebno privlačan: poruka koja se odnosi na stvarnu rezervaciju, gosta ili plaćanje izgleda uvjerljivije od uobičajene masovne prijevare.

Riječ je o phishing napadima koji na prvi pogled mogu izgledati kao uobičajena poslovna poruka, zahtjev gosta, potvrda rezervacije ili tehnička obavijest sustava. Upravo u tome leži njihova najveća opasnost, jer se napad ne oslanja samo na tehničku ranjivost, nego i na povjerenje zaposlenika koji u sezoni obrađuju velik broj upita i rezervacija. Kada napadači preuzmu pristup računu ili komunikacijskom kanalu, posljedice mogu biti ozbiljne: od krađe osobnih i kartičnih podataka do slanja lažnih poveznica gostima i preusmjeravanja uplata. Za turističke tvrtke takav incident ne znači samo financijski rizik, nego i izravan udar na reputaciju, povjerenje gostiju i sigurnost poslovanja. Posebno su ranjivi hoteli, agencije, iznajmljivači i drugi pružatelji turističkih usluga koji ovise o vanjskim platformama i brzim odgovorima prema korisnicima.

Napadi pokazuju da digitalizacija turizma, uz sve prednosti automatiziranih rezervacija i online prodaje, istodobno otvara prostor za nove oblike prijevara. Zato pitanje kibernetičke sigurnosti više nije samo tehničko pitanje IT odjela, nego važan dio upravljanja rizicima u cijelom turističkom poslovanju. U trenutku kada se velik dio odnosa s gostom odvija online, sigurnost booking sustava i provjera svake sumnjive komunikacije postaju jednako važni kao kvaliteta same usluge.

Iz tvrtke Phobs su za ICTbusiness.info potvrdili da je utvrđen sigurnosni događaj koji je obuhvatio dio podataka koji se odnose na određeni broj naših klijenata. Odmah po saznanju tvrtka PHOBS poduzela je sve potrebne mjere radi zaštite sustava, utvrđivanja okolnosti događaja i smanjenja mogućih posljedica. Financijski podaci klijenata nisu bili obuhvaćeni ovim događajem, tvrde u kompaniji.

Kako tvrde dosadašnjom analizom utvrđeno je da događaj nije posljedica kompromitacije baze podataka niti neovlaštenog prodora u infrastrukturu sustava.

Slučaj je prijavljen Agenciji za zaštitu osobnih podataka (AZOP). Njihovi stručnjaci poduzimaju sve korake u skladu s propisima o događaju te aktivno surađujemo sa svim relevantnim dionicima kako bismo u potpunosti utvrdili okolnosti događaja i osigurali odgovarajuće postupanje prema svim uključenim stranama.

„Budući da su pojedine provjere i postupci još uvijek u tijeku, trenutačno nismo u mogućnosti iznositi dodatne pojedinosti. Sve relevantne informacije pravodobno ćemo podijeliti s osobama na koje se događaj odnosi, u skladu s važećim propisima. U privitku dostavljamo primjer poruke kakvu su neki korisnici primili, te vas molimo da, u skladu s informativnom ulogom medija, obavijestite svoje čitatelje i upozorite ih da obrate pažnju na poruke sumnjivog sadržaja. Uvijek se savjetuje provjeriti identitet pošiljatelja, adresu s koje je poruka poslana te izbjegavati otvaranje sumnjivih poveznica i privitaka. Tvrtke od korisnika/gostiju ne traže dostavu lozinki, podataka o platnim karticama ili drugih osjetljivih podataka putem whatsapp poruka“, zaključuju iz Phobsa na upit ICTbusiness.info.

Valamr je svoje goste upozorio na činjenicu da su zaprimili informacije o lažnim WhatsApp i Viber porukama vezano uz Valamarove objekte, u kojima se od primatelja traži da kliknu na poveznicu, upišu svoje osobne podatke ili izvrše dodatne uplate. „Moguće je da poruke budu poslane i preko drugih kanala komunikacije. Molimo Vas da zanemarite takve poruke. Poruke nije poslao Valamar, te predstavljaju pokušaj prijevare“, pojašnjavaju u poruci gostima iz Valamara.

Njihov partner za obradu rezervacija prijavio sigurnosni incident, koji uključuje neovlašten pristup dijelu podataka o rezervacijama. Moguće je da su zahvaćeni sljedeći podaci  ime i prezime, kontaktni podaci, određeni podaci vezani uz rezervaciju.

Na ovu opasnu prijevaru upozorio je i Zaton Holiday Resort, koji je na svojim društvenim mrežama objavio kako su zabilježeni pokušaji lažnog predstavljanja u ime resorta. Kako navode, prevaranti gostima šalju poruke koje sadrže poveznice za navodnu verifikaciju rezervacije, a cilj im je krađa osobnih i financijskih podataka. "Upozoravamo vas na aktivne pokušaje prijevare putem WhatsApp poruka koje se lažno šalju u ime Zaton Holiday Resorta. Poruke sadrže poziv na klik lažnog linka pod izlikom verifikacije rezervacije", poručili su iz resorta.

Iz Agencije za zaštitu osobnih podataka (AZOP) ističu kako se posljednjih dana bilježi povećani broj incidenata kod različitih voditelja/ izvršitelja obrade te ovim pozivaju građane na oprez. Kako tvrde iz AZOP-a eksfiltracijom osobnih podataka (poput ime i prezime, e-mail adresa, broj telefona i slično) iz sustava različitih organizacija, moguća je povećana pojava phishing napada.

Phishing se odnosi na internetske prijevare u vidu lažnih e-poruka koje izgledaju kao da su ih poslale legitimne organizacije, a koje primatelja navode na dijeljenje osobnih, financijskih ili sigurnosnih podataka. Na ovaj način prevaranti dobivaju pristup korisničkim imenima, lozinkama ili podacima s kreditnih kartica. U takvim porukama se najčešće traži da osoba klikne na poveznicu i upiše osobne/ financijske podatke. Poruke se šire najčešće e-mail porukama, a sada kada je riječ o turističkim rezervacijama i putem Whatsappa.

"Pozivamo građane da prilikom zaprimanja takvih poruka (bilo putem e-maila, društvenih mreža ili SMS-a) obrate pozornost na stvarnog pošiljatelja poruke te da ne upisuju svoje osobne i financijske podatke (podatke s bankovnih kartica, kao i podatke koje generira mobilnog bankarstvo) putem dostavljenih poveznica", ističu iz AZOP-a.

Vratimo se na početak priče, što znamo o tvrtki PHOBS, sa sjedištem u Dubrovniku jest da je riječ o tvrti u vlasništvu švicarske tvrtke Travelnode. Ona je jedan najznačajnijih B2B aktera u regionalnom (ali i globalnom) travel tech sektoru. Specijalizirana je za razvoj naprednih cloud rješenja namijenjenih optimizaciji prodaje, vođenju inventara i online distribuciji za hotele, kampove i druge smještajne objekte.

Ova dubrovačka tvrtka osnovana 2004. godine ima dana eko 10.000 korisnika u više od 34 zemlje. Sustav podržava više od 30 jezika te je kroz njega procesuirano preko 18 milijuna rezervacija.

Phobs funkcionira kao modularni ekosustav koji rješava sve ključne aspekte online prodaje i prihoda (revenue management) za hotelijere. Channel Manage je centralni proizvod koji sinkronizira cijene, restrikcije i raspoloživost soba na preko 300 online putničkih agencija (OTA) kao što su Booking.com, Expedia, itd. Sustav radi u realnom vremenu, eliminirajući rizik od overbookinga (dvostruke rezervacije).

Booking Engine (IBE) je sustav za izravne rezervacije integriran direktno na službene web stranice hotela ili kamping resorta. Cilj mu je maksimizirati direktnu prodaju (bez agencijskih provizija) kroz optimizirani proces u tri koraka, podršku za loyalty programe i napredne modele plaćanja (sukladno PCI DSS standardima).

Ima tu još nekoliko dodatnih modula koji omogućuje automatizaciju formiranja cijena ovisno o popunjenosti kapaciteta i tržišnoj potražnji kako bi se postigao maksimalni prihod po raspoloživoj sobi (RevPAR) , aplikacija za učinkovitu obradu direktnih upita koji stižu e-mailom, omogućujući brzu izradu personaliziranih ponuda i njihovo pretvaranje u fiksne rezervacije.

Tu je i AI Virtual Assistant odnosno integrirani chatbot vođen umjetnom inteligencijom (pod ljudskom kontrolom) zadužen za 24/7 višejezičnu podršku gostima i poticanje direktnog bookinga. Kako se sa može saznati njihovi su korisnici, dakle i pogođeni ovim napadom Valamar, Maistra, Liburnia Riviera Hoteli, Bluesun Hotels & Resorts, Medora i drugi.

Treba istkanuti kako je Phobs nedavno napravio značajan zaokret koji signalizira zrelost hrvatskog travel tech sektora. Kroz matičnu grupaciju Travelnode, Phobs je preuzeo većinski udio u talijanskoj tvrtki pod.camp, koja je specijalizirana za cloud-based PMS (Property Management System) rješenja za kampove. Ovaj potez pokazuje da domaće tehnološke tvrtke u turizmu više nisu samo predmet akvizicija od strane stranih fondova, već su same počele kupovati i konsolidirati europsko tržište, spajajući kamping PMS sustave s Phobsovim distribucijskim kanalima.