Fałszywy rabat od wakacje.pl

Hakerzy wymyślają coraz nowsze metody na kradzież pieniędzy. Za jednym z takich pomysłów stał pracownik wakacje.pl, który oferował rzekomy rabat klientom, a to on sam czyhał na pieniądze klientów.

Na szczęście wygląda na to, że pracownik działał sam i bez wsparcia jakiejś grupy hakerskiej. Dzięki temu skala szkód jest niewielka. Jednak to co wydarzyło się powinno być ostrzeżeniem dla wszystkich biur i sprzedających on-line.

Dla klientów multiagenta sprawa zaczęła się prosto. Po rezerwacji wycieczki, w kilka dni po wpłaceniu zaliczki, klient otrzymuje e-mail wyglądający podobnie jak e-mail firmowy (jedyna różnica w adresie nadawcy klient@platnosci-wakacje.pl, co stanowiło pewne ostrzeżenie, ale niestety wiele firm posługuje się różnymi domenami) oferujący mu zniżkę:

Dziękujemy za wybranie Wakacje.pl. Dbając o naszych klientów nieustannie udoskonalamy nasze usługi. Dlatego od 1 czerwca 2018 r. możliwe jest dokonanie dopłaty za rezerwację nawet na 60 dni przed planowanym terminem wycieczki.  Jak na razie uruchomiliśmy wersję pilotażową tej usługi i w pierwszym miesiącu klienci, którzy zdecydują się na szybsze dokonanie dopłaty otrzymają rabat w wysokości 10%, który zmniejszy aktualną kwotę do zapłaty za rezerwację. Jeżeli chcesz skorzystać z oferty promocyjnej, odpowiedź na tego maila. Tymczasem dziękujemy i życzymy miłego wieczoru.

Otylia Jędrzejewska
młodszy konsultant ds. dopłat

Opisywany przez serwis niebezpiecznik.pl klient odpisał i po chwili otrzymał kolejną wiadomość od "konsultantki ds. dopłat":
Dziękujemy za odpowiedź. W Pana przypadku rabat wyniósłby XXXX zł. Pozostała kwota do dopłaty wyniosłaby więc YYYY. Jeżeli zgadza się Pan na te warunki prosimy o odpowiedź z jakiego banku będzie dokonywana płatność. Wówczas wygenerujemy dla Pana odpowiednie dane do przelewu. Tymczasem dziękuje i życzę miłego dnia.

Otylia Jędrzejewska
młodszy konsultant ds. dopłat

Tutaj osobom technicznym powinno się zapalić światło ostrzegawcze, bowiem wskazanie banku przy płatności on-line jest całkowicie zbędne, całość i tak załatwia pośrednik (jak przelewy24, dotpay, tpay, payu itd.). Jednak klient nie miał o tym pojęcia i choć się zdziwił, to wskazał, że jego bank to Inteligo. Wtedy otrzymał e-mail od "Otylii" z instrukcją wpłaty:
Panie [XXXX], bardzo dziękujemy za odpowiedź. Poniżej przesyłamy dane do przelewu:
Nazwa odbiorcy: DialCom24 Sp. z o.o.
Adres odbiorcy: ul. Kanclerska 15, 60-327 Poznań
Numer konta: 50 1020 5558 1111 1240 4150 0010
Tytuł przelewu: P24-Q31-380-477 ecoPayz
Kwota: [XXXX] PLN
Informujemy, że został naliczony wspomniany rabat w wysokości [ZZZZ] zł. Prosimy o dokładne skopiowanie wszystkich powyższych danych, by firma przelewy24 mogła automatycznie zaksięgować Pana wpłatę. Szczególnie ważny jest tytuł przelewu. Fraza: P24-Q31-380-477 służy do automatycznej weryfikacji płatności w systemie przelewy24 Fraza: ecoPayz to kod rabatowy, który został Panu przyznany

I znów sposób wpłaty powinien zdziwić każdego kupującego on-line. Jednak co zdziwiło i uratowało klienta to fakt otrzymania kolejnego e-maila, który ponaglać miał go do wpłaty - "Otylia" napisała:
Panie [XXXXX], chciałabym się spytać jak wygląda sytuacja z dopłatą? Czy otrzymał Pan maila z danymi do przelewu i ewentualnie potrzebna jest jakaś pomoc? W razie jakichkolwiek pytań lub problemów jestem do dyspozycji. Tymczasem życzę miłego wieczoru

Natarczywość wzbudziła podejrzenie klienta, że coś jest nie tak, skontaktował się on z infolinią wakacje.pl, gdzie dowiedział się, że nie ma takiej promocji jaką mu oferowano. Zgłosił on problem multiagentowi, a także przekazał informacje do serwisu niebezpiecznik.pl, gdzie można przeczytać o szczegółach technicznych niebezpiecznik.pl

Wg informacji potwierdzonych przez wakacje.pl tylko 14 osób padło ofiarą oszustwa. Można spekulować, że na szczęście oszust działał sam i bez wielkiego polotu. Być może wyjaśnieniem jest fraza ecoPayz, która wskazuje na chęć zakupu kart przedpłaconych do gry w internetowych kasynach. Nałóg mógłby tłumaczyć dziwne działanie, które szczęśliwie nie powiodło się w szerszym zakresie.

Czego wszystkie firmy turystyczne sprzedające on-line mogą się nauczyć na tym przypadku? Po pierwsze, aby nadzorować pracowników mających szeroki dostęp do danych klientów i ich płatności, a pokazywać pracownikom potrzebne dane, a nie koniecznie wszystkie (np. osoba księgująca wpłaty nie musi widzieć e-maila, czy telefonu).

Po drugie trzeba zdać sobie sprawę, że wyciek danych sprzedażowych w komplecie (dane osoby + informacje o tym co kupił/zamówił) skończą się katastrofą. Gdyby, bowiem taka baza wpadła w ręce profesjonalnej grupy hakerskiej, to poszkodowanych mogłoby być kilkuset, albo i więcej. Wystarczyło lepiej rozwiązać sprawę płatności (bez pytania o bank lub wskazując wiele kont do przelewu bezpośredniego) i nie być tak natarczywym (dać mniejszą zniżkę, pod rozsądniejszym pretekstem i do rezerwacji z bardziej odległymi datami na początek), a szkody mogły by iść setki tysięcy.

Po tej historii z pewnością nie tylko specjaliści z zakresu bezpieczeństwa zwrócą uwagę na biura podróży i systemy rezerwacyjne. Promocje takie jak first minute lub last minute dają szanse oszustom, bo ludzie często działają pod wpływem chwili i skuszą się na dodatkowy rabat lub inne przywileje w zamian za wpłatę z góry całości. Zagrożeniem jest też podszywanie się pod całą stronę - wystarczy przed kampanią w mediach zakupić domenę www.itaka.eu oraz bazę prywatnych e-maili (za kilkaset złotych są do kupienia bazy milionów e-maili), a później już tylko rozesłać ofertę z fałszywej domeny i czekać na klientów chcących dokonać rezerwacji.