«В 8 утра в субботу пришла СМС, что с моей сбербанковской карты списана сумма в размере €100 через Амстердам, через Booking.com — за оплату отеля. Никакие отели я уже две недели не бронировал. В Амстердаме уже много лет не бронировал, поэтому было очевидно, что это либо ошибка, либо какое-то компьютерное мошенничество. Звонил в Сбербанк, там подтвердили, что это фишинг, что мошенникам известны данные моей карты, карту заблокировали. Но вот вопрос: каким образом мошенники могли получить данные моей карты?» — вопрошает Бенедиктов.
Вряд ли мошенники получили данные карты через Booking. Скорее всего, через эту площадку они лишь незаконно сняли деньги со счета, отметил руководитель команды аналитиков департамента защиты бренда Group-IB Илья Рожнов: «Вероятнее всего, владелец карты либо сам их ввел на мошенническом сайте, такие сайты называются фишинговыми — они выдают себя за какие-то официальные организации и выманивают у пользователей конфиденциальные данные, либо он сам скомпрометировал эти данные в другом месте, например, в некоторых случаях достаточно даже в ресторане передать карту официанту, тот переписывает данные карты, и карта скомпрометирована.
На западных сайтах есть особенность — многие из них не запрашивают СМС-подтверждение. Поэтому если данные вашей карты оказываются у третьих лиц, они получают возможность совершить покупку.
Таким атакам могут подвергаться клиенты любых банков, схема довольно распространенная. Данные карты могли быть скомпрометированы не только в тот же день, они могли утечь несколько месяцев назад. Кроме того, в интернете существуют базы, в которых продаются данные как раз таких скомпрометированных карт.
Хотя сам Booking может конфиденциально передавать данные своих клиентов отелям, в том числе номера и коды банковских карт, заявил руководитель лаборатории практического анализа защищенности «Инфосистемы Джет» Лука Сафонов: «Я лично наблюдал такую картину, наверное, года два назад, когда мои данные по карте были распечатаны у отеля, в который я приехал. Кроме как Booking, им никто не мог передать.
Это делается для того, чтобы списания были правильные и так далее, или быстрая отмена. Booking же работает с кучей отелей, и это не всегда отели премиум-класса, пятизвездочные, это могут быть и простые отели, где обычные люди работают, которые халатно могут относиться к своим данным и к чужим. То есть они могут взять и распечатать данные по картам клиентов и, например, просто выкинуть. Лучше для таких целей —оплаты отелей и так далее — использовать отдельную карту».
В самом Booking.com не смогли предоставить «Ъ FM» оперативный комментарий о том, каким образом отель мог списать деньги с карты клиента за чужое бронирование.
Альбина Хазеева.
