Włamanie do polskiego systemu obsługującego hotele / wille / obiekty hotelowe [KWHotel]. Wysyłają fałszywe wiadomości do klientów.

Atakujący posiadając dane rezerwacji ofiar, wysyłają za pomocą WhatsApp / e-mail fałszywe wiadomości, nakłaniające do podania danych Waszych kart płatniczych (pod pozorem potwierdzenia / anulowania rezerwacji). Poniżej zdjęcie, które otrzymaliśmy od jednego z czytelników (przesłane do potencjalnej ofiary na WhatsApp – prawdopodobnie w celu uprawdopodobnienia rozmowy z “prawdziwym hotelem”):

Jednocześnie KWHotel informuje współpracujące z nimi obiekty hotelowe :

“prawdopodobnie doszło do włamania na jeden z serwerów (dev[.]kwhotel[.]pl) Na serwerze znajdowała się baza z danymi Państwa klientów”.

[Trochę podejrzanie brzmi ten przedrostek “dev”. Czyżby produkcyjne dane na serwerze dev?]

Jak widać prawdopodobnie wyciekły:

• dane gości hotelowych (również z rezerwacji z Booking, czy od innych pośredników),
• hasła dostępowe do KWHotel (hasła użytkowników hoteli),
• dokumenty księgowe.

Na zaatakowanym serwerze był również skrypt, który miał usunąć dane, ale z jakiegoś powodu plik nie został uruchomiony przez atakujących.

Niedawno informowaliśmy o ostrzeżeniu Schroniska Murowaniec – o możliwych wiadomościach e-mail podszywających się pod Schronisko. To najprawdopodobniej ta sama “akcja”.

Poniżej jeszcze inny przykład – tym razem podszywający się pod jeden z mniejszych obiektów. Link prowadzi do strony próbującej wyłudzić dane karty płatniczej.

• Uważajcie na wiadomości dotyczące rezerwacji noclegu pochodzące z dziwnych adresów (tj. nie należących do hotelu / obiektu noclegowego)
• W razie wątpliwości dzwońcie do obiektu (na telefon podany na stronie)

~Michał Sajdak