Cyberprzestępcy postanowili podszyć się pod znany serwis turystyczny Airbnb i w ataku phishingowym wyłudzić dane osobowe oraz dane kart płatniczych jego użytkowników. Aby uwiarygodnić swój podstęp, wykorzystali w przesłanej im wiadomości aktualizację polityk prywatności serwisu związaną z wprowadzeniem w życie RODO. Jak twierdzi ekspert z ESET, pułapki phishingowe wykorzystujące rozporządzenie o ochronie danych osobowych mogą się w najbliższym czasie nasilić, dlatego zaleca szczególną ostrożność wszystkim użytkownikom korzystającym z poczty elektronicznej.
Airbnb to serwis umożliwiający rezerwację nieruchomości od osób prywatnych za rozsądną cenę. Cyberprzestępcy postanowili wykorzystać falę jego popularności oraz fakt wchodzącego w życie rozporządzenia o ochronie danych osobowych (RODO) do zastawienia pułapki na użytkowników serwisu. Phishing w tym przypadku został skierowany do tzw. hostów, czyli osób wynajmującym swoje nieruchomości w Airbnb. Aby móc akceptować rezerwacje składane przez innych użytkowników i otrzymywać od nich wiadomości, musieli „obowiązkowo” zgodzić się na nowe warunki polityki prywatności związane z wprowadzeniem RODO i kliknąć w podany w e-mailu link. Następnie po wejściu na nową stronę, ofiary pułapki były zmuszone podać swoje dane osobowe, dane logowania oraz szczegóły dotyczące karty płatniczej. W ten sposób nieświadomi użytkownicy pozostawiali cyberprzestępcom cenne informacje, które mogły posłużyć hakerom do kradzieży pieniędzy z ich bankowych kont lub sprzedać je na tzw. czarnym rynku.
RODO wykorzystane do phishingu
Przedsiębiorstwa na całym świecie są zmuszone dostosować swoje polityki prywatności do unijnego rozporządzenia o ochronie danych osobowych (RODO), które wejdzie w życie 25 maja br. W przeciwnym razie będą narażone na gigantyczne kary. W związku z tym wiele serwisów internetowych decyduje się poinformować swoich użytkowników o zmianach z zakresu m.in. przechowywania i przetwarzania ich danych osobowych. Cyberprzestępcy postanowili wykorzystać ten fakt do przeprowadzenia ataków phishingowych. W jaki sposób uchronić się przed phishingiem?
W sytuacji, gdy otrzymujemy poważnie brzmiącą wiadomość od znanej nam osoby lub instytucji, powinniśmy mimo wszystko zachować szczególną czujność i sprawdzić, czy adres e-mail nadawcy nie zawiera literówek, czy jego nazwa na pewno zgadza się z tą, pod którą do tej pory występował. W przypadku Airbnb, prawdziwe e-maile wysyłane są z adresu w domenie @airbnb.com, z kolei hakerzy swoją pułapkę wypuścili z domeny: @mail.airbnb.work - tłumaczy Kamil Sadkowski z ESET.