“Kami nggak akan bilang bahwa setiap pesan phishing yang kami amati pasti disebabkan oleh kompromi langsung terhadap sistem internal hotel,” ucap peneliti tersebut. Pesan phishing mungkin dikirim menggunakan informasi dari pelanggaran data lain atau sistem yang tidak terkait dengan industri perjalanan. “Faktor umumnya adalah para penjahat memanfaatkan konteks reservasi nyata dan mengarahkan wisatawan ke alur verifikasi atau pembayaran palsu,” kata Corrons.
Corrons mengatakan bahwa Norton belum sepenuhnya bisa mengungkap siapa di balik serangan-serangan ini, namun penyelidikan masih berlangsunga. Mereka yang mengirim beberapa pesan phishing tampaknya menggunakan kit phishing yang dirancanguntuk mempercepat dan mengotomatiskan proses pengiriman serta pengumpulan informasi, ujarnya, dan dalam beberapa kasus, kit phishing atau infrastruktur teknis yang sama digunakan. Perusahaan tidak mempublikasikan daftar lengkap hotel dan akomodasi liburan yang berpotensi terkompromi, kata Corrons; namun, ia mengatakan perusahaannya telah menghubungi Europol mengenai temuan mereka.
Seorang juru bicara Europol menolak berkomentar dengan mengatakan bahwa mereka tidak membahas aktivitas operasionalnya.
“Kami terus memperkuat pertahanan kami untuk mengurangi risikodan membatasi peluang bagi aktor jahat yang menargetkan mitra akomodasi dan pelanggan kami, dan kami melihat hasilnya,” kata seorang juru bicara Booking.com.
Cloudbeds mengatakan bahwa perusahaannya tidak diretas dan serangan yang dijelaskan oleh peneliti Norton adalah kampanye credential-phishing yang menargetkan staf hotel lalu pelanggan. “Alasan penipuan ini begitu efektif adalah karena penyerang tidak menebak-nebak: mereka tahu persis siapa tamunya, kapan mereka tiba, dan berapa yang mereka bayarkan,” kata Aaron Ownbey, wakil presiden teknik di Cloudbeds.
Upaya meretas hotel dan menggunakan data pelanggan untuk melancarkan serangan phishing sudah ada selama bertahun-tahun. Di seluruh industri perjalanan, hotel sering menggunakan berbagai perangkat lunak manajemen properti atau sistem berbeda yang memungkinkan orang melakukan pemesanan melalui perusahaan pihak ketiga. Pada saat yang sama, staf dapat dengan mudah mengelola detail pelanggan dan reservasi utama. “Industri perhotelan perlu secara kolektif meningkatkan standar keamanan—pelatihan yang lebih baik untuk staf front desk, adopsi autentikasi tahan phishing yang lebih luas, dan kontrol yang lebih ketat tentang bagaimana data tamu dapat diakses dan diekspor dari platform mana pun,” kata Ownbey.
Hotel-hotel yang lebih kecil cenderung tidak menerapkan praktik terbaik keamanan, seperti autentikasi multifaktor untuk staf, kata Don Smith, wakil presiden riset ancaman di perusahaan keamanan Sophos, yang telah bekerja dengan perusahaan di industri perjalanan.
Misalnya, dalam salah satu insiden yang ditangani Sophos, seorang pelaku kejahatan siber mengirim email ke hotel yang mengatakan bahwa mereka kehilangan paspor selama menginap baru-baru ini. Dalam pesan susulan, penyerang menyertakan tautan ke foto paspor; namun, ketika diklik, itu mengunduh file yang berisi information stealer Vidar, yang dapat mengumpulkan detail login dari komputer yang terinfeksi. Beberapa hari setelah malware digunakan, pesan-pesan penipuan telah dikirim ke pelanggan dari akun Booking.com hotel tersebut dan orang-orang mengeluh kehilangan uang.
“Aktor ancaman menyukai konteks karena konteks membuat umpan phishing jauh lebih menarik,” kata Smith. “Sangat sulit untuk tidak bereaksi dan langsung mengeklik sesuatu demi menghilangkan satu elemen stres dari pengalaman perjalanan yang mungkin sudah menegangkan.”
Corrons dari Norton mengatakan bahwa penyertaan informasi nyata dalam pesan phishing dapat mempersulit penentuan mana yang sah dan mana yang penipuan. Jika ragu, katanya, hubungi langsung hotel atau persewaan liburan melalui sarana kontak lain. “Meskipun data dalam pesan itu nyata,” ujarnya, “itu tidak berarti Anda bisa mempercayai pesan tersebut.”