Jag läser om en kund som bokade hotell på Booking.com och blev av med 21 000 kronor i en efterföljande Phishing-attack. Efter korrespondens med Booking.com hänvisas kunden till allmänna reklamationsnämnden, ARN då Booking.com slår ifrån sig all form av ansvar.
Vad var det egentligen som hände?
Kunden bokar en hotellvistelse via Booking.com med valet att betala på plats. Ett par dagar senare får hon ett mail från [email protected] där hon ombeds att registrera sina kortuppgifter för att garantera bokningen. Generellt inga konstigheter i sak, eftersom man ofta måste ha kortuppgifter registrerade på ett eller annat sätt för att bokningen ska garanteras. Samma sak gäller ofta för hotellbokningar.
Nu är det bara det att mailet inte kommer från Booking.com utan från en cyberbrottsling. Med full tillgång till kundens kortuppgifter kan denne nu dra pengar från kortet, i det här fallet alltså 21 000 kronor. En inte alldeles oansenlig summa pengar.
Vilket ansvar tog Booking.com?
Inget alls. Kunden beskriver i artikeln hur hon suttit med Booking.com’s kundtjänst och där fått beskedet att det inte är någonting de kan göra och att hon behöver gå till allmänna reklamationsnämnden, ARN, för att få hjälp. Man nekar samtidigt till att ha utsatts för intrång.
Så hur kunde man lyckas?
Nu vet jag naturligtvis inte om det Booking.com säger avseende intrång stämmer eller inte, men det finns gott om sätt för en cyberbrottsling att känna till såväl att en bokning gjorts som kundens mailadress. Och det är inga som helst svårigheter att fejka ett mail så det ser ut att komma från i det här fallet [email protected]. Det hela handlar om klassisk phishing genom social manipulation.
Vems är då ansvaret?
Till syvende och sist vilar ett tungt ansvar på kortinnehavaren, i det här fallet alltså kunden. Uppgifter så som kortnummer måste alltid betraktas som en värdehandling. Men det är värt att komma ihåg att cyberbrottslingarna är oerhört skickliga i sina formuleringar, i det här fallet skriver man att det är mycket viktigt att kunden faktiskt gör vad som efterfrågas – annars blir kunden av med sin bokning. Och det är naturligtvis inget man vill ska hända när man ser fram emot sin resa.
Bookings ansvar är att verkligen säkerställa så att inga kunduppgifter så som mailadress eller bokningsuppgifter når någon utomstående, samt att tydligt informera under bokningen att kunden inte under några som helst omständigheter ska lämna ifrån sig till exempelvis uppgifter om bank, betal- eller kreditkort eller liknande på annat sätt än under själva bokningen. Här vet jag av egen erfarenhet att den typen av information brukar kunna vara sisådär.
Till dig som bokar via sajter som Booking.com: Var vaksam! Lämna aldrig ut uppgifter i efterhand, krävs kortuppgifter så ska de lämnas redan under bokningen – inte därefter.
Till Booking.com och liknande bokningssajter: Skärp informationen! Människor är olika och bedragare är skickliga. Det duger inte att i efterhand säga ”men snälla du, det här kommer inte från oss – det är phishing”. Det är att klappa sina kunder nedlåtande på huvudet.