Szybkie selfie w drodze na pokład samolotu? Chęć podzielenia się ze światem pozytywnymi emocjami, a nawet wywołania ukłucia zazdrości wśród obserwujących wydaje się niewinną rozrywką. Nie każdy jednak zdaje sobie sprawę, że zrobione naprędce zdjęcia z kartami pokładowymi mogą przynieść więcej szkody niż pożytku.
Na Instagramie hashtagiem #boardingpass (ang. karta pokładowa) oznaczono już ponad 138 tysięcy zdjęć. I chociaż nie wszystkie z nich prezentują dane z kart pokładowych, z tych pozornie niewinnych zdjęć hakerzy są w stanie wyczytać wiele informacji.
Karta pokładowa to źródło cennych informacji
Na biletach lotniczych pojawia się kod kreskowy. Jeśli zostanie udostępniony publicznie, może zostać zeskanowany przez hakerów. Z kodu można uzyskać takie informacje jak dane osobowe podróżującego, informacje o rezerwacji, a nawet pójść o krok dalej i zobaczyć dane kontaktowe czy historię lotów.
Inne konsekwencje niewinnego udostępnienia zdjęcia karty pokładowej to uzyskanie dostępu do danych bankowych ofiary. Do tej metody wykorzystywany jest phishing. Cyberprzestępcy po uzyskaniu podstawowych informacji o pasażerze i jego rezerwacji mogą zastosować różne sztuczki z wykorzystaniem socjotechniki i podając się za przedstawicieli linii lotniczych wyłudzić więcej potrzebnych danych.
Popularne stało się nakłanianie ofiary do kliknięcia linku przesłanego w wiadomości SMS lub e-mail (np. aby rzekomo potwierdzić rezerwację). Wtedy cyberprzestępców dzieli tylko krok od uzyskania dostępu do innych wrażliwych danych.
Chroń swój numer PNR
Linie lotnicze wykorzystują nowoczesne technologie po to, aby zachować łączność między wszystkimi wykorzystywanymi systemami informatycznymi. Dane o podróżnych, lotach, statusach podróży i wiele innych są co sekundę przesyłane różnymi tunelami, umożliwiając sprawną obsługę pasażerów.
Tam, gdzie pojawia się łączność i masowe przesyłanie danych, tam także mogą wystąpić luki w zabezpieczeniach. Na szczególne niebezpieczeństwo narażone są dane przesyłane w formie niezaszyfrowanej przypisane do danego pasażera, tzw. numer PNR (numer referencyjny).
Numery referencyjne pasażerów są standardową informacją wykorzystywaną przez linie lotnicze. Są połączone z danymi kontaktowymi pasażera, szczegółami rezerwacji, ilością zebranych punktów lojalnościowych, a także dają możliwość dokonywania zmian lub anulowania lotów. Numer PNR może stać się potężną bronią w rękach hakerów.
W ferworze przygotowań do podróży lotniczej lub nie mogąc doczekać się dotarcia na miejsce, użytkownicy mogą nieświadomie podzielić się w swoich mediach społecznościowych informacjami, które tylko na pozór wyglądają nieszkodliwie.
W rzeczywistości droga od pozyskania numeru do niezwykle poważnych konsekwencji jest krótka. Wykorzystując numer PNR oraz nazwisko podróżującego (tę informację zdobyć jest dość łatwo, wykorzystując dane użytkownika widoczne w nazwie profilu na Instagramie lub Facebooku) można zmienić datę rezerwacji lub ją odwołać, bez podawania żadnych dodatkowych informacji.
Jeśli zbierasz mile w programie lojalnościowym, hakerzy posiadający dostęp do wcześniej wspomnianych danych oraz numeru konta w programie będą mogli zarządzać Twoimi punktami.
Przypadek Tony’ego Abbotta
O tym, że nie warto chwalić się kartą pokładową, przekonał się były premier Australii Tony Abbott. W 2020 r., po swoim locie z Tokio do Sydney opublikował zdjęcie swojej karty podkładowej, wyrażając podziękowania załodze za bezpieczny lot. Wystarczyło 45 minut, aby hakerzy uzyskali dostęp do danych paszportu i numeru telefonu byłego premiera.
Okazało się, że na udostępnionej karcie pokładowej widniał numer PNR. Ze względu na to, że były premier jest osobą publiczną, pozyskanie dodatkowych danych zajęło kilka sekund. Wystarczyło tylko wejść na stronę internetową przewoźnika i wpisać zdobyte dane, aby uzyskać dostęp do numeru karty programu lojalnościowego oraz szczegóły lotu. Kolejnym krokiem było sprawdzenie numeru paszportu w sekcji zarządzania rezerwacją, znalezienie numeru telefonu, a nawet uzyskanie dostępu do korespondencji premiera z pracownikami obsługi przewoźnika.
Jak się chronić?
Udostępnianie szczegółowych informacji o swoich planach podróżniczych w mediach społecznościowych może mieć fatalne konsekwencje wykraczające poza problemy z rezerwacją czy kradzież danych. Hakerom wystarczy chwila, aby powiązać nieumyślnie upublicznione informacje z innymi danymi osobowymi pozyskanymi z różnych miejsc w sieci, aby stworzyć pokaźne portfolio przyszłej ofiary. Zakres przestępstw może wykraczać poza internet – niezwykle cenna jest wiedza o dłuższym przebywaniu poza domem czy aktualnym miejscu pobytu. Z tego miejsca blisko już do zagrożeń fizycznych – kradzieży, włamań, siania dezinformacji.
Oto kilka porad, jak chronić swoje bezpieczeństwo przed i w trakcie podróży:
- Unikaj dzielenia się informacjami o swoich planach podróżniczych w internecie. Zachowaj dla siebie daty, miejsce docelowe, udostępnianie zdjęć z przygotowań do wakacji.
- Nie umieszczaj naprędce zrobionych zdjęć na lotnisku lub w hotelu. Zanim udostępnisz sprawdź, czy niechcący nie upubliczniasz wrażliwych danych. Unikaj także edytowania zdjęć, np. zamazywania numerów kart lub paszportów – hakerzy znają sposoby na to, aby cofnąć tę czynność.
- Zwróć szczególną uwagę na bezpieczeństwo swojej karty pokładowej. Aby zmniejszyć ryzyko dostania się jej w niepowołane ręce, unikaj drukowania karty. Zamiast tego wybieraj mobilne karty pokładowe. Jeśli masz już wydrukowaną kartę, trzymaj ją przy sobie, a po podróży podrzyj na drobne kawałeczki i wyrzuć. Nie pozostawiaj jej na siedzeniu pasażera lub w innym miejscu, w którym może zostać łatwo przejęta przez przestępców.
Chcesz podzielić się wrażeniami z podróży? Możesz to zrobić po powrocie z wakacji pamiętając jednak o dokładnym sprawdzeniu tego, co zawierają zdjęcia jeszcze przez kliknięciem „Opublikuj”.
Inne zagrożenia czekające na podróżnych
Osoby odbywające podróże międzynarodowe są coraz częściej narażone na ataki hakerów. Najpopularniejszymi miejscami ataków pozostają lotniska, hotele czy galerie handlowe – wszędzie tam, gdzie dostępne jest publiczne Wi-Fi.
Równie niebezpieczne może być korzystanie z publicznych stacji USB. Te wygodne w użyciu punkty ładowania mogą być wykorzystywane przez cyberprzestępców do rozprzestrzeniania złośliwego oprogramowania lub uzyskiwania nieuprawnionego dostępu do danych.
Osoby, które nie chcą ponosić wysokich kosztów związanych z roamingiem, przeważnie decydują się na logowanie do publicznej sieci Wi-Fi, która wymaga zwykle podania adresu e-mail. Równie łatwy dostęp do niezabezpieczonych sieci Wi-Fi mają hakerzy, którzy mogą uzyskać dostęp do przesyłanych danych użytkowników podłączonych do wspólnej sieci.
Najczęściej są to loginy i hasła do mediów społecznościowych, dane osobowe i kontaktowe czy dane bankowe. W tym przypadku sprawdzonym sposobem na ochronę swojej prywatności jest aktywowanie sieci VPN.