Online sigurnost i zaštita: Socijalni inženjering

Kao partner Booking.com-a potencijalno imate pristup velikoj količini podataka o gostima: od imena i adresa do podataka o kreditnim karticama i telefonskih brojeva.

To znači da korisnički računi vašeg ekstraneta mogu biti privlačna meta za cyber kriminalce i prevarante, koji će na različite načine pokušati ostvariti pristup podacima na vašem računu.

Jedan od načina na koje mogu pokušati ostvariti pristup je korištenje tehnike koja se zove ‘Socijalni inženjering’.

Što je socijalni inženjering?

Socijalni inženjering je tehnika koju koriste kriminalci koji vas pokušavaju prevariti kako bi ostvarili pristup osjetljivim informacijama ili podacima koje im obično ne biste otkrili.

U kontekstu Booking.com-a, ta se tehnika može koristiti da bi se pokušao ostvariti pristup korisničkom računu vašeg ekstraneta i kako bi se ukrali osjetljivi podaci gostiju, kao što su primjerice osobni podaci uz pomoć kojih je moguće otkriti osobni identitet ili podaci kartice za plaćanje.

Što žele postići kriminalci koji koriste socijalni inženjering?

Kriminalci će u većini slučajeva koristiti socijalni inženjering kako bi pokušali ostvariti pristup korisničkom računu vašeg ekstraneta jer je u njemu moguće pronaći osjetljive podatke, kao što su:

  • Osobni podaci gostiju (imena, telefonski brojevi, adrese itd.)
  • Podaci o plaćanju gostiju (brojevi kreditnih kartica)
  • Vaši vlastiti podaci (kontaktni podaci, financijske informacije itd.)

Ako kriminalci putem socijalnog inženjeringa ostvare pristup vašem korisničkom računu, sve što se prikazuje u ekstranetu može biti cilj napada.

Kako prepoznati socijalni inženjering?

Ponekad može biti teško odrediti kada se pokušava provesti socijalni inženjering i zbog toga je ova tehnika kriminalcima toliko učinkovita. Zbog toga je važno da na umu imate neke ključne točke kako ne biste postali žrtva socijalnog inženjeringa:

Prevaranti šalju neobične i neočekivane zahtjeve

  • Kriminalci koriste ovu tehniku kako bi od vas pokušali dobiti nešto što obično ne bi dobili. Ako netko od vas zatraži da za njih nešto napravite putem telefona ili e-pošte, od njih uvijek zatražite svrhu zahtjeva i pitajte tko upućuje zahtjev.
  • Prevaranti se često predstavljaju kao druge osobe kojima možete vjerovati. Ako 'Booking.com' ili 'generalni direktor' nazovu vaš hotel i upute neobičan zahtjev, provjerite broj s kojeg je upućen poziv i pokušajte potvrditi njihov identitet.

Prevaranti koriste lažnu hitnost

  • Kako bi vas naveli da ispunite njihove zahtjeve, kriminalci će često pokušati formirati svoje zahtjeve da se oni čine hitnima. Ako ne učinite ono što su od vas zatražili, oni bi mogli reći nešto poput: 'Bit će vam blokiran pristup vašem korisničkom računu' ili 'Vaš će korisnički račun biti izbrisan'.

Prevaranti rade greške

  • Kriminalci često neće znati kako točno funkcioniraju naši proizvodi ili postupci, tako da će često uputiti neobične zahtjeve i zatim pokušati objasniti da su zahtjevi neobični zbog 'specifičnih okolnosti' ili zbog toga što se 'postupak promijenio'.

Kako se zaštititi od socijalnog inženjeringa?

Ako primite neobičan telefonski poziv ili poruke (SMS, WhatsApp ili poruke e-pošte) od prevaranta koji pokušava provesti socijalni inženjering, oni će se često pretvarati da rade za Booking.com ili čak mogu tvrditi da su zaposlenik vašeg smještajnog objekta. Ako niste sigurni o čemu se radi, prije nego što nešto napravite uvijek prvo pošaljite poruku na report@booking.com.

  • Ako netko, bez obzira na to tvrdi li da radi za Booking.com ili čak i u vašem smještajnom objektu, od vas traži vaše korisničko ime i/ili lozinku, nemojte ispuniti taj zahtjev. Booking.com od vas nikad neće zatražiti vaše korisničko ime i lozinku, a isto tako nikad ne biste smjeli ni s kim podijeliti svoj pin kod za autentifikaciju u dva koraka (2FA).
  • Ako primite poruku ili telefonski poziv u kojima se od vas traži da provedete izmjene na svom korisničkom računu ekstraneta (npr. da promijenite kontaktne podatke, dodate korisničke račune, kreirate nove promotivne ponude itd.), uvijek potvrdite dolazi li taj zahtjev od legitimnog izvora.
    • Ako oni navodno dolaze od Booking.com-a, nazovite nas kako biste to potvrdili sa svojim account managerom ili službom za korisnike.
    • Ako pozivatelj tvrdi da je zaposlenik u vašem smještajnom objektu, nazovite tu osobu i potvrdite zahtjev.

Mislim da sam žrtva socijalnog inženjeringa. Što trebam učiniti?

Poduzmite ove korake kako biste osigurali svoj korisnički račun:

  1. Svoju lozinku za korisnički račun ekstraneta Booking.com-a možete poništiti ovdje.
  2. Provjerite sve podatke na korisničkom računu vašeg ekstraneta da vidite je li se nešto promijenilo (raspoloživost, promotivne ponude, kontaktni podaci i novi korisnički računi itd.).
  3. Prijavite to! Budući da posjedujete podatke koji se smatraju osobnima (a zato i osjetljivima), molimo vas da odmah kontaktirate Booking.com kako biste nam javili da je vaš korisnički račun možda komprimitiran. To možete učiniti tako da pošaljete poruku e-pošte na report@booking.com.
  4. Ne zaboravite uključiti i sve informacije koje bi mogle biti korisne, kao što su identitet pod kojim su vam se predstavile osobe koje su vas nazvale ili vam poslale poruku i stvari o kojima ste raspravljali.