Expedia, una reconocida agencia de viajes online, le ha enviado un correo electrónico a un número limitado de usuarios donde se les advierte que un atacante se está haciendo pasar por un representante de la empresa enviando e-mails y mensajes SMS para intentar robar dinero. El investigador Bob Sullivan publicó una captura de este correo en su blog.
No se trató de un ataque de phishing generalizado sino de algo más personalizado, el atacante disponía de algunos datos como el nombre, teléfono, e-mail y códigos de reserva de sus víctimas.
Este reducido número de usuarios afectados permitió determinar que la información se había robado de un hotel en particular, el atacante de alguna forma obtuvo las credenciales que el hotel utilizaba para acceder al sistema de Expedia y así robó la información de los clientes que habían realizado reservas recientemente.
La seguridad en las redes de los hoteles no siempre es la mejor, encontrarse con routers desactualizados o con las contraseñas por defecto es lo normal, así que la situación no es muy sorprendente. Cabe aclarar que dentro de los datos robados no estaban las tarjetas de crédito ya que esa información la maneja Expedia internamente de forma segura.
Con esta agencia se pueden comprar boletos de avión, reservar hoteles, alquilar coches, entre otras cosas, es una de las más utilizadas del mundo y los usuarios normalmente están acostumbrados a realizar transacciones de cientos de dólares antes de viajar. Teniendo algunos datos concretos de ellos no es difícil imaginarse distintas formas de engañarlos para intentar obtener dinero.
Algunos usuarios, por ejemplo, están recibiendo llamadas telefónicas donde se les informa que ganaron un viaje por 2.600 dólares y les piden sus tarjetas para confirmar el check-in en un resort. Estos engaños son generalizados, no tienen relación con el anterior, pero es un ejemplo claro de como pueden hacerte caer en la trampa.
Hay que estar atentos y nunca proporcionar información personal o sensible por teléfono o e-mail. Ante la duda lo ideal siempre es contactarse con las empresas por medio de su página web o las redes sociales como se puede ver a continuación en un intercambio de tweets:
@Addi_James breach by Expedia as the phone calls are targeting US and Canadian citizens in general – not just Expedia customers. In fact,…
— Expedia (@Expedia) junio 24, 2015