शोधकर्ता का कहना है, “हम यह नहीं कहेंगे कि हमारे द्वारा देखा गया हर एक फ़िशिंग संदेश निश्चित रूप से होटल के अपने आंतरिक सिस्टम के सीधे समझौते के कारण हुआ था।” फ़िशिंग संदेश अन्य डेटा उल्लंघनों या यात्रा उद्योग से जुड़े सिस्टम से जानकारी का उपयोग करके भेजे जा सकते हैं। कोरोन्स कहते हैं, “सामान्य कारक यह है कि अपराधी वास्तविक आरक्षण संदर्भ को हथियार बना रहे हैं और यात्रियों को नकली सत्यापन या भुगतान प्रवाह में धकेल रहे हैं।”
कोरोन्स का कहना है कि नॉर्टन पूरी तरह से यह बताने में असमर्थ है कि हमलों के पीछे कौन हो सकता है, लेकिन उनका कहना है कि जांच जारी है। ऐसा प्रतीत होता है कि कुछ फ़िशिंग संदेश भेजने वाले फ़िशिंग किट का उपयोग कर रहे हैं जो जानकारी भेजने और एकत्र करने की प्रक्रिया को तेज़ और स्वचालित करने के लिए डिज़ाइन की गई है, और कई मामलों में उसी फ़िशिंग किट या तकनीकी बुनियादी ढांचे का उपयोग किया गया है। कोरोन्स का कहना है कि कंपनी संभावित रूप से समझौता किए गए होटलों और अवकाश आवासों की पूरी सूची प्रकाशित नहीं कर रही है; हालाँकि, उनका कहना है कि कंपनी अपने निष्कर्षों के बारे में यूरोपोल के संपर्क में है।
यूरोपोल के प्रवक्ता ने यह कहते हुए टिप्पणी करने से इनकार कर दिया कि वह अपनी परिचालन गतिविधि पर चर्चा नहीं करता है।
बुकिंग.कॉम के प्रवक्ता का कहना है, “हम अपने आवास भागीदारों और हमारे ग्राहकों को लक्षित करने के लिए बुरे कलाकारों के जोखिम को कम करने और अवसरों को सीमित करने के लिए अपनी सुरक्षा को मजबूत करना जारी रखते हैं, और हम परिणाम देख रहे हैं।”
क्लाउडबेड्स का कहना है कि कंपनी का उल्लंघन नहीं किया गया है और नॉर्टन शोधकर्ताओं द्वारा वर्णित हमले होटल कर्मचारियों और फिर ग्राहकों को लक्षित करने वाले क्रेडेंशियल-फ़िशिंग अभियान हैं। क्लाउडबेड्स में इंजीनियरिंग के उपाध्यक्ष आरोन ओनबे कहते हैं, “ये घोटाले इतने प्रभावी होने का कारण यह है कि हमलावर अनुमान नहीं लगा रहा है: उन्हें पता है कि अतिथि कौन है, वे कब आ रहे हैं और उन्होंने क्या भुगतान किया है।”
होटलों को हैक करने और फ़िशिंग हमले शुरू करने के लिए ग्राहक डेटा का उपयोग करने के प्रयास वर्षों से होते आ रहे हैं। पूरे यात्रा उद्योग में, होटल अक्सर संपत्ति-प्रबंधन सॉफ़्टवेयर या विभिन्न प्रणालियों का उपयोग करते हैं जो लोगों को तीसरे पक्ष की कंपनियों के माध्यम से बुकिंग करने की अनुमति देते हैं। साथ ही, कर्मचारी प्रमुख ग्राहक विवरण और आरक्षण को आसानी से प्रबंधित कर सकते हैं। ओनबे कहते हैं, “आतिथ्य उद्योग को सामूहिक रूप से सुरक्षा आधार रेखा बढ़ाने की जरूरत है – फ्रंट डेस्क कर्मचारियों के लिए बेहतर प्रशिक्षण, फ़िशिंग-प्रतिरोधी प्रमाणीकरण को व्यापक रूप से अपनाना, और अतिथि डेटा को किसी भी प्लेटफ़ॉर्म से कैसे एक्सेस और निर्यात किया जा सकता है, इस पर सख्त नियंत्रण।”
यात्रा उद्योग में कंपनियों के साथ काम कर चुकी सुरक्षा कंपनी सोफोस में खतरा अनुसंधान के उपाध्यक्ष डॉन स्मिथ कहते हैं, छोटे होटलों में सुरक्षा संबंधी सर्वोत्तम प्रथाओं, जैसे कि स्टाफ सदस्यों के लिए मल्टीफैक्टर प्रमाणीकरण, की संभावना कम होती है।
उदाहरण के लिए, सोफोस द्वारा संभाली गई एक घटना में, एक साइबर अपराधी ने एक होटल को ईमेल करके कहा कि हाल ही में प्रवास के दौरान उनका पासपोर्ट खो गया था। एक अनुवर्ती संदेश में, हमलावर ने पासपोर्ट की एक तस्वीर का लिंक शामिल किया; हालाँकि, जब क्लिक किया गया तो इसने विदर इन्फो स्टिलर सहित एक फ़ाइल डाउनलोड की, जो एक संक्रमित कंप्यूटर से लॉगिन विवरण एकत्र कर सकता है। मैलवेयर तैनात होने के कुछ दिनों बाद, होटल के बुकिंग.कॉम खाते से ग्राहकों को धोखाधड़ी वाले संदेश भेजे गए थे और लोग शिकायत कर रहे थे कि उन्होंने पैसे खो दिए हैं।
स्मिथ कहते हैं, “खतरनाक अभिनेताओं को संदर्भ पसंद है क्योंकि संदर्भ फ़िशिंग लालच को और अधिक सम्मोहक बनाता है।” “किसी तनावपूर्ण यात्रा अनुभव से तनाव के एक तत्व को हटाने के लिए बस प्रतिक्रिया न करना और किसी चीज़ पर क्लिक करना बहुत कठिन है।”
नॉर्टन के कोरोन्स का कहना है कि फ़िशिंग संदेशों में वास्तविक जानकारी शामिल करने से यह निर्धारित करना कठिन हो सकता है कि क्या वैध है और क्या घोटाला है। यदि संदेह हो, तो वह कहते हैं, संपर्क के किसी अन्य माध्यम से सीधे होटल या अवकाश किराये से संपर्क करें। “भले ही संदेश में डेटा वास्तविक है,” वह कहते हैं, “इसका मतलब यह नहीं है कि आप संदेश पर भरोसा कर सकते हैं।”
