Lažna sporočila lovijo goste z odprtimi rezervacijami – IP svari: ne vnašajte podatkov plačilnih kartic

Lažna sporočila lovijo goste z odprtimi rezervacijami - IP svari: ne vnašajte podatkov plačilnih kartic

SPOROČILO ZA JAVNOST

Informacijski pooblaščenec (IP) opozarja vse, ki imajo odprte rezervacije nastanitev v Sloveniji, na Hrvaškem ali drugje v regiji: po vdoru v informacijski sistem hrvaškega ponudnika spletnega rezervacijskega sistema, ki ga uporabljajo mnogi nastanitveni obrati v regiji, gosti prejemajo lažna sporočila, preko katerih želijo napadalci priti do njihovih podatkov o plačilnih karticah. Ne klikajte na povezave v sumljivih sporočilih in nikamor ne vnašajte podatkov svoje plačilne kartice!

Napadalci so ob vdoru v informacijski sistem hrvaškega ponudnika spletnega rezervacijskega sistema pridobili osebne in kontaktne podatke gostov ter podrobne informacije o njihovih rezervacijah. Te podatke zdaj izkoriščajo za sporočila spletnega ribarjenja (angleško phishing) in pri tem izkoriščajo pridobljene podatke gosta: njegovo ime, ime hotela in termin bivanja. Sporočila delujejo zelo prepričljivo. Povezava v sporočilu nato vodi na lažno spletno stran, ki pod pretvezo potrditve rezervacije ali doplačila zahteva vnos podatkov plačilne kartice.

Lažno sporočilo prepoznate po tem, da omenja vašo dejansko rezervacijo, zahteva ponovno potrditev ali doplačilo, vsebuje povezavo za vnos podatkov in priganja k hitremu ukrepanju. Ob prejemu takega sporočila ne klikajte na povezave in ne vnašajte nobenih podatkov! Pristnost zahtevka preverite neposredno pri ponudniku nastanitve, najbolje po telefonu. Kdor je podatke kartice že vnesel, naj takoj obvesti svojo banko.

Podrobnejša tehnična pojasnila in primere lažnih sporočil je objavil nacionalni odzivni center SI-CERT v obvestilu Odtekanje in zlorabe rezervacijskih podatkov v phishing napadih.

IP je do danes prejel že deset obvestil o tej kršitvi varnosti osebnih podatkov s strani različnih slovenskih nastanitvenih obratov.

Opozarjamo, da so dolžni vsi slovenski nastanitveni obrati, ki jih je hrvaški ponudnik rezervacijskega sistema obvestil o varnostnem incidentu, o kršitvi uradno obvestiti IP kot nadzorni organ (33. člen Splošne uredbe o varstvu podatkov). Ker kršitev za goste pomeni veliko tveganje - ukradeni podatki se že zlorabljajo za pošiljanje lažnih sporočil in poskus pridobivanja podatkov o plačilnih karticah - morajo o varnostnem incidentu brez odlašanja obvestiti tudi posameznike. Le pravočasno obveščeni gostje se namreč lahko ustrezno zaščitijo, prevaro prepoznajo in obvarujejo preostale svoje podatke.