Johan ett klick från att luras av hotellbluffen – Polisen: ”Bland det mest avancerade jag sett”

Johan Bergelin planerar alltid sina resor i god tid. När kompisgänget i vintras började förbereda sommarens bilsemester genom Europa – med stopp i Tjeckien, Slovenien, Italien, San Marino, Liechtenstein, Österrike och Tyskland – bokade de övernattningar på över tio hotell via den populära bokningssajten Booking.com.

Några veckor innan avresan fick Bergelin ett oväntat meddelande på Whatsapp från ett av de italienska hotellen han bokat. Det artigt formulerade meddelandet från ett företagskonto uppmanade honom att bekräfta bokningen inom elva timmar. För någon som ofta kommunicerar direkt med boenden, särskilt vid husbokningar, kändes det initialt inte märkligt.

Att kontaktförsöket innehöll hans fullständiga namn, det bokade hotellets namn, korrekta bokningsdatum och telefonnummer gjorde att han slog bort eventuella farhågor. Den informationsväxlingen brukar oftast ske via bokningssajtens app, och eftersom alla detaljer stämde perfekt verkade meddelandet legitimt.

Bergelin, som normalt är försiktig med att klicka på okända länkar, gjorde ett undantag just denna gång. Eftersom samtliga uppgifter var korrekta resonerade han att det måste vara äkta – ingen annan än Booking.com eller hotellet skulle kunna ha tillgång till all denna information.

När han klickade på länken slussades han vidare till en sajt som såg trovärdig ut. Men när han skulle mata in sina betaluppgifter igen började varningsklockorna ringa. Han stängde omedelbart ner sidan och mejlade i stället hotellet direkt för att kontrollera om de verkligen begärt hans kreditkortsuppgifter på nytt.

Svaret kom direkt: Nej, hotellet hade inte skickat något sådant meddelande. Bergelin insåg att han varit mycket nära att falla offer för ett sofistikerat nätfiskeförsök.

## Dataintrång hos Booking.com

Det visade sig att även en annan person i samma resesällskap hade fått två liknande kontaktförsök. Exakt hur bedragarna fått tag på uppgifterna är oklart, men samtliga bokningar hade gjorts via Booking.com som i april i år rapporterades ha utsatts för en dataläcka.

Booking.com, som avböjde intervju, bekräftade i ett mejl att man i april uppmärksammade ”viss misstänkt aktivitet där obehöriga tredje parter fått tillgång till bokningsinformation för några av våra gäster”. Företaget vägrar dock precisera hur många kunder som påverkats av intrånget.

De läckta uppgifterna kan innehålla namn, mejladress, telefonnummer, bokningsinformation om både tidigare och aktiva bokningar samt all annan information som kunder delat med sina boenden. Enligt bolaget ska dock inte finansiell information, kunders hemadresser eller lösenord ha exponerats.

Bokningssajten uppger att man uppdaterat pinkoder för berörda bokningar, informerat kunderna och anmält incidenten till relevanta dataskyddsmyndigheter. Detta följer EU:s dataskyddsförordning GDPR som kräver att företag rapporterar säkerhetsincidenter.

## Sofistikerat bedrägeri

Jan Olsson, kriminalkommissarie på Polisens nationella it-brottscentrum, förklarar att de läckta uppgifterna är guld värda för bedragare eftersom de möjliggör direktkontakt med hotellgäster.

”Trovärdigheten är jättehög om man får ett sådant meddelande eftersom man vet att man bokat och allt står där. Alla kan gå på det när man är lite stressad och inte tänker sig för”, säger Olsson och pekar på tre faktorer som gör detta bedrägeri särskilt effektivt.

För det första har människor betydligt lägre misstänksamhet mot meddelanden på Whatsapp jämfört med mejl, där vi är mer vana vid nätfiske och spam. För det andra har vi lärt oss att kontrollera varifrån mejl kommer, men samma möjlighet finns inte i samma utsträckning i Whatsapp. För det tredje saknas effektiva filter mot denna typ av bedrägerier, till skillnad från skräppostfilter för mejl.

”Det här är bland det mest sofistikerade jag har sett”, konstaterar Jan Olsson.

## Bredare problem i branschen

Booking.com är långt ifrån ensamma om att drabbas av dataintrång. Hotellkedjan Best Western utsattes för ett liknande intrång tidigare under året, vilket tyder på ett systematiskt problem inom resebranschen. Kriminella grupper tycks ha identifierat bokningssystem som lukrativa mål.

Jan Olsson rekommenderar därför sund misstänksamhet och att alltid kontakta hotellet direkt via telefon eller mejl om något känns oklart. Samtidigt påpekar han att ingen kan skydda sig till hundra procent. När sådana incidenter inträffar borde företag meddela alla kunder, anser han.

Johan Bergelin, som själv arbetat mycket med datasäkerhetsfrågor, är kritisk till hur informationen hanterades. Han ifrågasätter varför känsliga uppgifter som namn, telefonnummer, mejladresser, resedatum och övrig information inte verkar ha varit krypterade.

”Om hackarna hade tagit sig in i databasen hade de inte kunnat se något om allt är krypterat. Det är trianguleringen av informationen som gör att det blir så trovärdigt”, förklarar han.

## Brist på transparent kommunikation

Bergelin är särskilt kritisk mot att Booking.com inte aktivt informerat sina kunder om dataintrånget. Trots att han har hög säkerhetsmedvetenhet och regelbundet följer tekniknyheter hade han ingen aning om att dataläckan ägt rum.

”Jag har inte fått någon pushnotis som säger att vi blivit hackade. Jag hade ingen aning om att det här hade hänt”, säger han och betonar vikten av öppen kommunikation när företag drabbas av säkerhetsincidenter.

Med tanke på hur vanliga dataintrång blivit inom resebranschen menar Bergelin att det är avgörande att företag är transparenta och proaktivt informerar sina kunder om säkerhetsrisker. Endast på så sätt kan konsumenter skydda sig mot bedrägerier som utnyttjar läckt information.

Fallet belyser de växande utmaningarna med digital säkerhet i en alltmer uppkopplad värld, där även etablerade företag kämpar för att skydda sina kunders personuppgifter mot allt mer sofistikerade cyberattacker.