Gæster på luksushotels restaurant udsat for avanceret svindelforsøg

Datalæk på Ritz viser, hvordan data kan bruges i kriminel sammenhæng.

Et udspekuleret forsøg på svindel har ramt kunder til restauranten på luksushotellet Ritz i London, efter at de er blevet ringet op af svindlere og blevet bedt om at bekræfte en bordbestilling ved at give betalingskortoplysninger fra sig. Det skriver Security Affairs.

Svindlerne har udgivet sig for at være ansatte ved Ritz og har bedt kunderne om telefonisk at oplyse kreditkortoplysningerne. Disse oplysninger er så blevet brugt til at forsøge at købe produkter på en hjemmeside, men dette blev opdaget og stoppet af kundernes bank, da der var tale om en betænkelig transaktion på over 1000 engelske pund. Herefter blev kunden imidlertid atter ringet af svindlere, der udgav sig for at være fra banken, der oplyste, at der foregik "svigagtige" transaktioner. Banken bad så kunden om at bekræfte en fremsendt sikkerhedskode, hvorefter transaktionen kunne blive gennemført.

Alle data kan bruges til svindel

Svindlen har kunne lade sig gøre, fordi der har været adgang til data fra Ritz’ bookingsystem med oplysninger om navn, reservationstidspunkt og telefonnummer. Samtidig har svindlerne haft mulighed for at ringe på en måde, så opkaldet så ud til at komme fra hotellets rigtige telefonnummer.

Der er sandsynligvis sket det, at data fra Ritz bestillingssystem er blevet lækket. Enten ved et ikke-opdaget hack, eller ved at en medarbejder ved Ritz eller leverandør er kommet til at lække data. Enten ubevidst eller bevidst.

Hvorfor er dette så interessant for DKCERTS interessenter og læsere af nyhedsbrevet? Det er det, fordi svindlen minder os om, at lækkede data kan bruges til alt og også bliver brugt til alt. Og at cyberkriminelle er kreative og tager både analoge og digitale værktøjer i brug.

Det vil de sandsynligvis blive ved med så længe data lækkes, og mennesker falder i phishingfælden, hvad enten phishingen foregår digitalt eller analogt. Derfor minder sagen os også om, at cyberkriminalitet i mange tilfælde altid kræver menneskelig interaktion for at kunne lykkes. 

Det er derfor, at mediernes omtale af phishingforsøg altid slutter med det evigtgyldige råd: Giv aldrig dine betalingskortoplysninger videre til andre. Ingen seriøs bank eller myndighed vil anmode om betalingskortoplysninger (eller andre følsomme oplysninger, for den sags skyld).

Links:

https://securityaffairs.co/wordpress/107217/cyber-crime/ritz-hotel-scam.html