Oszust internetowy ukradł pieniądze klientom Travelplanet.pl

Pod koniec czerwca portal niebezpiecznik.pl opisał proceder wyłudzania przez kogoś, kto podawał się za przedstawiciela sieci Wakacje.pl, pieniędzy od klientów tego agenta. Chodziło o osoby, które rezerwując wyjazd wpłaciły zaliczki, ale miały jeszcze dopłacić dwie trzecie ceny. Kierownictwo Wakacji.pl po śledztwie w firmie doszło do przekonania, że naciągaczem był jeden z jej pracowników. Zwolniono go dyscyplinarnie, a sprawę oszustwa zgłoszono policji, prokuraturze i bankowi, w którym znajdowało się konto naciągacza.

Ofiarą oszusta podpisującego się jako „Otylia Jędrzejewska, młodszy konsultant ds. dopłat” (sic!) padło kilkanaście osób. Wakacje.pl, chociaż pieniądze wpłacone przez zdezorientowanych klientów znalazły się na obcym koncie, postanowiły nie zostawiać ich na lodzie i pokryły ich stratę.

Drugie podejście złodzieja

– Odkąd zwolniliśmy podejrzewanego pracownika, nasze kłopoty ustały – przyznaje rzeczniczka Wakacji.pl Klaudyna Mortka. Okazuje się jednak, że podobny problem mieli później klienci sieci Travelplanet.pl. Oszust rozesłał do jakiejś ich grupy – jak licznej nie wiadomo – wiadomość: „Szanowni Państwo, Dziękujemy za dokonanie rezerwacji w naszym serwisie. Aby dopełnić wszelkich formalności prosimy o uregulowanie pozostałych należności”.

Pod spodem zamieścił „dane do rachunku” z wpisanymi wszystkimi informacjami o rezerwacji i formułą: „o ile przed otrzymaniem powyższej korespondencji dokonali już Państwo wpłaty, prosimy o zignorowanie prośby. Po dokonaniu płatności prosimy o wysłanie nam w odpowiedzi na tego maila potwierdzenia przelewu.Przypominamy, że nasz Dział Obsługi Posprzedażowej skontaktuje się z Państwem na 48h przed wyjazdem w celu potwierdzenia godziny odlotu. Już dziś życzymy wspaniałego wypoczynku!”.

Wiadomość była rozsyłana z adresu sok@doplaty-travelplanet.pl. Jeśli ktoś chciał uzyskać link do przelewu kartą kredytową, dowiadywał się, że „z powodu prac modernizacyjnych w systemie obsługującym płatność kartą, ta metoda nie jest dostępna”. Proszono o przelanie gotówki.

Wyciek danych? To nie u nas

Kiedy Travelplanet.pl zorientował się, że ktoś naciąga jego klientów, zamieścił na swojej stronie internetowej komunikat: „Uwaga klienci dokonujący dopłat do rezerwacji: Prosimy o uważne sprawdzenie czy wiadomość o dopłacie została wysłana z adresu serwis@travelplanet.pl oraz weryfikację indywidualnego numeru konta nadanego przy założeniu rezerwacji, który możesz sprawdzić w pierwszym e-mailu rezerwacyjnym”. Nie uprzedził jednak, że dochodzi do prób wyłudzenia pieniędzy.

– Zawiadomiliśmy prokuraturę, touroperatorów i systemy rezerwacyjne, z którymi współpracujemy, a także bank, którego konto podawał w rozsyłanych mailach oszust – mówi rzecznik firmy Jarosław Kałucki. – Nic więcej nie możemy zrobić, czekamy na reakcję organów ścigania.

Jednocześnie firma sprawdziła, czy nie nastąpił wyciek danych z jej zasobów. – Nie dopatrzyliśmy się żadnego ataku hakerskiego w tym czasie – zapewnia Kałucki.

Jak mówi, firma zawiadomiła też wszystkich swoich klientów, którzy mieli jeszcze dopłacić resztę pieniędzy do pełnej ceny wycieczki, żeby byli czujni.

Kałucki zapewnia, że tylko kilka osób padło ofiarą oszusta. – Przypadki skutecznego oszustwa są jednostkowe, a kwoty wyłudzenia stosunkowo niewielkie i z pewnością niewarte organizacyjnego wysiłku, jaki musieli włożyć oszuści – mówi Kałucki. – Niewielka skala przestępstwa to naszym zdaniem efekt natychmiastowej reakcji Traveplanet.pl – dodaje.

Podobnie jak wcześniej Wakacje.pl, zarząd Travelplanet.pl zdecydował, że pokryje dopłaty osobom, które wpłaciły pieniądze oszustowi. – Nastąpi to jednak po wcześniejszej weryfikacji tożsamości klienta i tylko w wypadku osób, które dały się nabrać przed umieszczeniem przez nas komunikatu na stronie i przed naszą akcją mailingową i esemesową – mówi Kałucki.

Słabe ogniwo – agent

Jeśli podobna sytuacja miała miejsce i w wypadku klientów Wakacji.pl, i w wypadku klientów Travelplanet.pl (chociaż, jak twierdzi Mortka, „próba phisingu na pracownikach Wakacje.pl była nieudana”), to gdzie leży przyczyna?

Prezes spółki Elektroniczne Systemy Sprzedaży, właściciela popularnego systemu rezerwacyjnego MerlinX, używanego przez obie sieci, Tomasz Berdowski jest przekonany, że żadne dane nie wyciekły z jego firmy.

Jego zdaniem słabym ogniwem okazali się agenci turystyczni. Oszust najpierw okradł jakąś grupę agentów, a dopiero potem dotarł do ich klientów. Jak ujawnia Berdowski, jeszcze w maju wielu z agentów turystycznych (ich adresy mailowe nie są żadną tajemnicą, wręcz przeciwnie – są podawane w wielu miejscach, na przykład na stronach internetowych touroperatorów i sieci takich jak Wakacje.pl i Travelplanet.pl) dostało od oszusta wiadomość pocztą elektroniczną tej treści:

„Drogi Agencie

W związku z prowadzoną przez nas modernizacją systemu rezerwacyjnego MerlinX prosimy Cię o zalogowanie się na swoje konto z poniższego linku. Pozwoli nam to potwierdzić czy twój dostęp nadal jest aktywny. Pierwsza próba logowania może ci się nie udać, dlatego prosimy spróbować ponownie.

Po prawidłowym zalogowaniu się do swojego panelu agenta otrzymamy stosowny komunikat i będziemy mogli kontynuować nasze prace. Jednocześnie informujemy, że nie wpłyną one na możliwość swobodnego korzystania z systemu rezerwacyjnego MerlinX.

Dziękujemy i przepraszamy za utrudnienia”.

Dla uwiarygodnienia wiadomości, mail był podpisany prawdziwym imieniem i nazwiskiem pracownika Merlina, odpowiedzialnego za kontakty z agentami. Dołączona też była standardowa stopka z adresem, telefonami i logiem spółki.

Agent, który nie nabrał podejrzeń i próbował wykonać zalecone czynności, skierowany był na fałszywą stronę przygotowaną przez oszusta. Dla niepoznaki była na niej umieszczona nawet reklama biura podróży, jak na prawdziwej stronie Merlina.

W ten sposób grupa agentów – nie wiadomo jak duża – ujawniła oszustowi swoje hasła do systemu.

Bezkarność przez opieszałość?

– Godzinę po tym, jak się dowiedzieliśmy, że ktoś podjął taką akcję, zresetowałem wszystkie hasła agentów. Nie byli zadowoleni, ale nie miałem innego wyjścia. Dostali od nas nowe loginy – relacjonuje Berdowski.

– Przypuszczam jednak, że oszust, mający dostęp dzięki loginom do systemu rezerwacyjnego, skopiował sobie dane konkretnych rezerwacji, czekających jeszcze na dopłaty – opowiada. W ten sposób zdobył bazę informacji, dzięki której mógł przeprowadzić drugi etap swojej akcji, czyli rozesłać konkretnym klientom prośby o przesyłanie dopłat.

Berdowski ma pretensje, że instytucje, które powinny ścigać oszustów lub przynajmniej przeciwdziałać podobnym sytuacjom zareagowały po jego pierwszym zgłoszeniu opieszale lub wcale. – Zgłosiliśmy to 17 maja policji. Dopiero 5 lipca dostaliśmy potwierdzenie od nich, że 21 czerwca wszczęli śledztwo. Oszustwo zgłosiłem też firmie home.pl, na której serwerze założono fałszywą stronę Merlina, ale od nich nie dostałem żadnej odpowiedzi. Wprawdzie po jakimś czasie fałszywa strona zniknęła, ale potem pojawiła się ponownie, zdaje się, że ją odwiesili – wyjaśnia Berdowski. Prawdopodobnie przez tę opieszałość oszust, który okradł klientów Wakacji.pl, poczuł się bezkarny i zaatakował ponownie – tym razem klientów Travelplanet.pl.

Berdowski zapewnia, że zachęca agentów do większej ostrożności w kontaktach odbywających się w sieci. Jednak jego zdaniem za mało interesują się oni bezpieczeństwem danych. Bywa, że udzielają swoich loginów nieupoważnionym osobom. – W maju wprowadziłem dodatkowe zabezpieczenie, tak zwane 3D secure. Na 2,5 tysiąca agentów, z którymi mamy umowy, korzysta z tego tylko 130 – mówi.

MerlinX apeluje do agentów

Uwaga na ataki hakerskie i próby wyłudzania haseł!

Niektórzy z Was dostali maila, aby zweryfikować hasło i login do systemu MerlinX. Niektórzy kliknęli w link i wpisując swoje hasło oddali hakerowi loginy.

Następnie haker podszywając się pod Agenta wysłał prośbę o pilną wpłatę, oczywiście na hakerskie konto.

MY NIGDY NIE WYSYŁAMY TEGO TYPU WIADOMOŚCI, NIE PROSIMY O WERYFIKACJĘ WASZYCH HASEŁ!

Nasza DOMENA to e-systemy.com. Zwracajcie na to szczególną uwagę.