Lažno bivanje pri Tedu na srečo nazadnje ni stalo nič, lahko pa bi zelo veliko
Lenart J. Kučić 7. avgusta 2019 ob 06:43

Ob približno pol dveh ponoči se je začel mobilnik tresti in se ni hotel ustaviti. Nanj so prihajala kratka sporočila o transakcijah na računu kreditne kartice. Vsa za enake zneske in za rezervacijo nekega apartmaja v Londonu prek storitve airbnb. Ko so plačila presegla kartični limit, se je mobilnik še nekaj časa tresel in sporočal zavrnjena plačila. Potem je obmiroval.

Takoj sem se poslušal prijaviti v svoj račun na airbnb, a nisem mogel vstopiti. Poslal sem zahtevek za spremembo gesla in počakal. Sproti sem se prijavil še v paypal, prek katerega so bile plačane transakcije. V paypalu sem takoj vložil reklamacijo in napisal komentar, da ne gre za moja plačila. Ker airbnb ni bil odziven, sem še preklical kreditno kartico.

V paypalu sem ugotovil, da so bile transakcije dejansko izvedene prek mojega računa na airbnb. Vendar paypal ni zahteval nobene dodatne avtorizacije, kar je sicer pravilo ob vsaki transakciji. Na seznamu plačnikov je bil airbnb označen kot ponudnik, ki da sem mu dovolil avtomatske transakcije, podobno kot naročninam. Zato sem ga za vsak primer odstranil s seznama in blokiral vsa prihodnja plačila preko te storitve.

Z airbnb so mi končno poslali povezavo za spremembo gesla. Po prijavi v račun sem videl osem identičnih rezervacij za isti apartma v predmestju Londona, vsakič za enak znesek in brez možnosti preklica. Klikal sem po strani in iskal obrazec za reklamacije, a se je zdelo, da sploh niso predvideli primerov spletne prevare. Izbire »najemnika« so bile namreč pred zaključkom »potovanja« in s tem »bivanja« zelo omejene. Lahko bi kvečjemu poslal sporočilo ponudniku, a je bil profil neznanega »Teda« že na prvi pogled neprepričljiv, podobno fotografije apartmaja, ki da sem ga najel. Nato sem preveril še dnevniške zapise o svoji pretekli dejavnosti in videl, da se je pred dvajsetimi dnevi nekdo dvakrat prijavil v moj račun – iz ene izmed ameriških zveznih držav.

Kar zagotovo nisem bil jaz, saj airbnb nisem uporabil že več let.

Izkušnjo sem takoj delil na družabnih omrežjih in vpisoval ključne besede, da bi našel podobne primere zlorab. Prejel sem več odzivov in izvedel, da je imelo več – tudi slovenskih – uporabnikov podobno izkušnjo. Neznanci so jim vstopili v račun, spremenili nastavitve, počakali nekaj tednov in potem na hitro rezervirali kopico lažnih stanovanj, dokler niso dosegli limita na kartici. Pri načrtovanju napada so očitno upoštevali časovne pasove, saj so se transakcije v več primerih zgodile sredi noči, ko je uporabnik spal in ni videl obvestil, če je imel sploh vključeno to možnost. A so se tudi nekatere druge žrtve pritoževale nad neodzivnostjo airbnb. Da ni bilo obrazca za reklamacije, da se ni nihče odzival na elektronska pisma in telefonski klic, da po poizvedbi niso priznali težave. Najbolj odzivni da so na tviterju, kar sem takoj preveril.

Najhitreje so se odzvali na paypalu, kjer so takoj potrdili prejem prijave in blokirali promet z airbnb. Odgovorili so, da gre po njihovih podatkih za lažne transakcije, zato so preklicali plačila in obljubili vračilo denarja. Na tviterju se je oglasila služba za pomoč uporabnikom in prosila, naj jim po osebnem sporočilu pošljem nekaj podatkov, da bodo lahko preverili dogajanje na mojem računu. Pred tem sem na strani airbnb našel še nekaj kontaktnih naslovov in poslal novinarsko vprašanje na njihovo evropsko medijsko predstavništvo. Med tem so mi z airbnb ves čas pošiljali samodejna sporočila, v katerih so se mi zahvaljevali za uporabo njihove storitve in mi privoščili prijetno bivanje v Londonu.

S paypala so mi v manj kot enem dnevu vrnili denar na kartični račun. Z airbnb pa so se oglasili šele po dobrem tednu in sporočili, da bodo preverili mojo prijavo. Ko je pretekel datum mojega navideznega potovanja, so začela prihajati nova samodejna sporočila: naj ocenim svoje londonsko bivanje pri »Tedu« in pustim komentar. Več tednov pozneje so me obvestili, da so zaznali nenavadne transakcije v mojem računu, da so jih preklicali in mi ne bodo zaračunali londonskega apartmaja.

Na koncu – razen manjših nevšečnosti zaradi menjave kreditne kartice – zaradi napada ni bilo drugih posledic in nisem izgubil denarja. V moji banki so sprejeli reklamacijo, saj so po opisu in dokumentaciji videli, da gre za očiten spletni napad. Kljub temu je ostalo precej vprašanj neodgovorjenih, med drugim vse tisto, kar sem vprašal službo za odnose z javnostjo pri airbnb.

Zakaj me niso opozorili na sumljivo prijavo z neznane naprave in s kraja, kjer nisem še nikoli bil? Kako niso zaznali nenavadne dejavnosti, saj nihče v nekaj sekundah več desetkrat ne rezervira istega apartmaja na isti datum za natanko 133,33 evra? Zakaj me niso vprašali, ali sploh dovolim samodejne transakcije prek paypala, kjer imam sicer nastavljeno večkratno overjanje plačil? So doživeli hekerski vdor in izgubili uporabniške podatke, a niso obvestili uporabnikov?

Pav tako me je zanimalo, kaj se v takšnih primerih sploh zgodi z denarjem. Je napadalec uspel pravočasno prenesti moja nakazila in dejansko ukrasti denar? Ali pa sem se dovolj hitro odzval, da transakcije še niso bile izvedene in jih je bilo mogoče preklicati? Vprašanje je tudi, kdo mi je na koncu sploh vrnil denar: airbnb, paypal, izdajatelj moje bančne kartice, moja banka ali zavarovalnica? Vsi vpleteni v transakcijo imajo namreč predvidena zavarovanja, s katerimi pokrivajo odškodnine zaradi kibernetskega kriminala. Tega mi ni znal odgovoriti nihče, saj da so gibanja elektronskega denarja zelo zapletena.

Kaj se je torej dogajalo v mojem primeru?

Na airbnb sem si ustvaril uporabniški račun že precej zgodaj, ker sem kot novinar spremljal novosti na področju digitalne ekonomije. Nato sem storitev preizkusil in nekajkrat uporabil na potovanjih, potem pa je bil moj račun kar nekaj let neaktiven.

Zgodnja registracija in daljša neaktivnost sta imeli dve varnostni posledici.

Naroči se na redna vsakotedenska e-poštna obvestila o novih prispevkih na naši strani.


Zelo verjetno sem na začetku uporabil generično geslo, ki sem ga ustvaril za preizkušanje spletnih storitev. Tega danes nikakor ne priporočam, vendar je bila pred desetimi leti takšna »praktičnost« kar pogosta praksa, saj so bile možnosti zlorabe manjše. To geslo so mi morda ukradli v enem izmed velikih vdorov v uporabniške podatke – zagotovo sem bil med žrtvami vdora v Adobe – in je še danes na voljo hekerjem v temnih prostranstvih spleta. Ker airbnb že tako dolgo nisem uporabljal, sem med rednim menjavanjem gesel pozabil na ta račun ter pustil prvotno uporabniško ime in geslo. Če so hekerji pridobili takšno ukradeno zbirko uporabniških prijavnih podatkov, so jih lahko preizkušali na različnih spletnih storitvah, dokler ni kaka kombinacija prijela. Potem so morali samo še pripraviti naslednje korake: odpreti lažno ponudbo na airbnb in jo rezervirati v mojem imenu.

Toda kako je uspel napadalec izvesti plačilo, če je kreditna kartica, ki sem jo uporabil med preizkušanjem storitve, že zdavnaj pretekla? Preprosto. Med možnostjo plačila sem imel shranjen tudi paypal, ki pa je vezan na aktualno in s tem aktivno plačilno kartico. Zato je lahko napadalec v mojem računu spremenil način plačila, izbral paypal in še enkrat poskusil, tokrat uspešno. In zakaj niso pri paypalu zahtevali dodatne potrditve? Ker so se morda z airbnb dogovorili za kar najbolj preprosto plačilo. To je pogosta praksa med ponudniki spletnih storitev, kjer vsak dodaten klik poveča tveganje, da si bo uporabnik premislil.

Vse opisano je sicer samo hipoteza, saj lahko o dejanskem poteku zlorabe kvečjemu ugibam. A me je prigoda kljub temu spodbudila, da sem opravil temeljito čiščenje svojih elektronskih računov. Še zlasti tistih, ki so kakor koli povezani z elektronskim plačevanjem.

Najprej sem deaktiviral ali ukinil vse storitve, ki jih po več let ne uporabljam. Zamenjal sem vsa preostala gesla, nastavil dvojno overjanje (kjer ga še nisem) in preveril nastavitve elektronskih plačil, če je kjer koli izbrana možnost »nakupa z enim klikom« ali je prevzeto izbran paypal. Predvsem pa sem se prepričal v resničnost stare modrosti strokovnjakov za kibernetsko varnost, da je celoten sistem varen natanko toliko kot njegov najšibkejši člen. V mojem primeru je bilo to staro in najbrž ukradeno geslo za pozabljeno storitev.

Naslovna fotografija: Deposit Photos

Avtor Lenart J. Kučić
mm
Lenart ima v medijih že 20-letno kariero. Trenutno je novinar na portalu Pod črto, predavatelj in sovoditelj podkastov na mreži Marsowci. V prispevkih največkrat opisuje presečišče tehnologije, medijev in družbe.
Lenart J. Kučić - prispevki
Brez komentarjev

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja