G DATA, một công ty chống virus của Đức, phát hiện ra rằng trong các phòng khách sạn nơi nhân viên nghiên cứu của họ ở lại, két an toàn thường được đặt mật khẩu mặc định là 0000. Trong trường hợp như vậy, bất kể bạn chọn mật khẩu cá nhân nào, bất kỳ ai biết mật khẩu mặc định cũng có thể tiếp cận đồ đạc giá trị của bạn bên trong. G DATA nói rằng những trường hợp thế này không được phát hiện hàng loạt, nhưng xảy ra rải rác trong nhiều năm.
Nếu kẻ tấn công không biết mật khẩu mặc định của két an toàn trong phòng khách sạn, hắn có thể thực hiện phương pháp vét cạn. Mặc dù người quản lý khách sạn được tin tưởng giao một thiết bị điện tử khẩn cấp cắm vào cổng USB và mở khóa két an toàn, kẻ trộm hiểu biết có thể chỉ cần tháo tấm trên mặt trước két an toàn và sử dụng thiết bị kỹ thuật số để mở khóa bên dưới. Hoặc hắn có thể ngắt mạch an toàn và thiết lập lại cài đặt ban đầu, sau đó nhập mã mới.
Nếu điều đó không khiến bạn quan tâm, hãy xem xét điều này. G DATA cũng thấy rằng các đầu đọc thẻ tín dụng trên két có thể bị bên thứ ba đọc được để quét trộm dữ liệu thẻ tín dụng và sau đó sử dụng hoặc bán thông tin đó trên Internet.
Ngày nay, các khách sạn sử dụng thẻ quét NFC hoặc thậm chí thẻ băng từ để khóa và mở khóa phòng. Ưu điểm là khách sạn có thể thay đổi các mã truy cập này nhanh chóng và dễ dàng từ quầy lễ tân. Nếu bị mất thẻ, bạn có thể yêu cầu thẻ mới. Một mã đơn giản được gửi cho khóa và ngay lập tức khi bạn đến phòng của mình, thẻ khóa mới sẽ hoạt động. Công cụ MagSpoof của Samy Kamkar có thể được sử dụng để giả mạo các trình tự chính xác và mở khóa một phòng khách sạn bằng cách sử dụng thẻ băng từ. Công cụ này được đã sử dụng trong một tập của chương trình truyền hình Mr. Robot.
Sự hiện diện của dải từ hoặc chip NFC đã làm nảy sinh ý tưởng rằng thông tin cá nhân có thể được lưu trữ trên thẻ khóa của khách sạn. Không phải vậy. Nhưng người ta vẫn rỉ tai nhau truyền thuyết này. Thậm chí còn có một câu chuyện nổi tiếng có nguồn gốc từ Quận San Diego. Giả sử một phó cảnh sát trưởng ở đó đưa ra cảnh báo rằng họ tìm thấy trên chìa khóa của khách sạn thông tin về tên, địa chỉ nhà và thẻ tín dụng của khách. Có lẽ bạn đã nhìn thấy email đó. Nó trông giống như thế này:
Gần đây các chuyên gia thực thi pháp luật Nam California được giao nhiệm vụ phát hiện các mối đe dọa mới đối với các vấn đề bảo mật cá nhân đã phát hiện những loại thông tin nhúng trong các khóa phòng khách sạn vốn đang được toàn ngành này sử dụng.
Mặc dù chìa khóa phòng của các khách sạn là khác nhau, nhưng một chìa khóa thông thường sẽ chứa các thông tin sau:
- Tên khách hàng
- Địa chỉ nhà riêng của khách hàng
- Số phòng khách sạn
- Ngày nhận phòng và ngày trả phòng
- Số thẻ tín dụng của khách hàng và ngày hết hạn!
Khi bạn trả chúng về quầy lễ tân, bất kỳ ai cũng có thể lấy được thông tin cá nhân của bằng cách quét thẻ trong máy quét của khách sạn. Một nhân viên có thể lấy một số ít thẻ về nhà và với một thiết bị quét, anh ta có thể truy cập vào thông tin trên một máy tính xách tay và đi mua sắm bằng tiền của bạn.
Nói một cách đơn giản, khách sạn không xóa các thẻ này cho đến khi một nhân viên phát thẻ cho khách lưu trú tiếp theo. Nó thường được lưu giữ trong một ngăn kéo ở quầy lễ tân với THÔNG TIN CỦA BẠN TRÊN ĐÓ!!!!
Điểm mấu chốt là, hãy giữ thẻ hoặc tiêu hủy chúng! KHÔNG BAO GIỜ bỏ chúng lại và KHÔNG BAO GIỜ trả chúng về quầy lễ tân khi bạn trả phòng. Họ sẽ không bắt bạn đền tiền thẻ đâu.
Người ta tranh cãi nhiều về tính xác thực của email này. Thành thật mà nói, theo tôi, nó có vẻ rất nhảm nhí.
Các thông tin liệt kê ở trên chắc chắn có thể được lưu trữ trên một thẻ chìa khóa, nhưng điều đó có vẻ cực đoan, ngay cả với tôi. Khách sạn sử dụng những gì có thể được coi là một mã thông báo token, một số giữ chỗ, cho mỗi khách. Chỉ với quyền truy cập vào các máy tính phía máy chủ sau thực hiện thanh toán, mã token mới có thể được kết nối với thông tin cá nhân.
Tôi không nghĩ rằng bạn cần phải thu thập và tiêu hủy các thẻ khóa cũ của bạn, nhưng này, bạn có thể muốn làm như vậy vì thế tất cả cũng giống nhau thôi.
Một câu hỏi phổ biến khác liên quan đến việc đi lại và dữ liệu: Có gì trong mã vạch ở dưới cùng trên vé máy bay của bạn? Mã vạch này có thể tiết lộ điều gì, nếu có? Trong thực tế, nó có thể tiết lộ tương đối ít thông tin cá nhân, trừ khi bạn có mã số hành khách thường xuyên.
Bắt đầu từ năm 2005, Hiệp hội Vận tải Hàng không Quốc tế (IATA) đã quyết định sử dụng thẻ lên máy bay có mã vạch vì lý do đơn giản là thẻ từ tốn nhiều chi phí duy trì hơn. Khoản tiết kiệm được ước tính là khoảng 1,5 tỷ đô-la. Hơn nữa, sử dụng mã vạch trên vé máy bay cho phép hành khách tải xuống vé từ Internet và in chúng tại nhà, hoặc thay vào đó họ có thể sử dụng điện thoại di động tại cổng.
Dĩ nhiên, sự thay đổi thủ tục này đòi hỏi một số tiêu chuẩn nhất định. Theo nhà nghiên cứu Shaun Ewing, mã vạch lên máy bay điển hình chứa các thông tin hầu như vô hại như tên hành khách, tên hãng hàng không, số chỗ ngồi, sân bay khởi hành, sân bay đến và số hiệu chuyến bay. Tuy nhiên, phần nhạy cảm nhất của mã vạch là mã số khách hàng bay thường xuyên của bạn. Tất cả các trang web của các hãng hàng không hiện đang bảo vệ tài khoản khách hàng bằng mật khẩu cá nhân. Cung cấp mã số hành khách thường xuyên không giống như việc cung cấp số An sinh Xã hội, nhưng nó vẫn là một mối lo ngại về quyền riêng tư.
Mối lo ngại về quyền riêng tư lớn hơn là thẻ khách hàng thân thiết được cung cấp tại các siêu thị, hiệu thuốc, trạm xăng và các doanh nghiệp khác. Không giống như vé máy bay yêu cầu tên hợp pháp, thẻ khách hàng thân thiết có thể được đăng ký dưới tên giả, địa chỉ và số điện thoại (số giả bạn có thể nhớ), vì vậy thói quen mua hàng của bạn không thể liên kết ngược lại với bạn.
Khi bạn nhận phòng khách sạn và khởi động máy tính, bạn có thể thấy danh sách các mạng Wi-Fi có sẵn, chẳng hạn như “Khách của khách sạn”, “tmobile123”, “iPhone của Kimberley”, “attwifi”, “Android của Steve” và “Điểm phát nóng của Chuck.” Bạn nên kết nối với mạng nào? Tôi hy vọng đến đây bạn đã biết câu trả lời!
Hầu hết Wi-Fi của khách sạn không sử dụng mã hóa nhưng yêu cầu xác thực bằng họ và số phòng của khách. Tất nhiên, có những thủ thuật để đi vòng tránh được hàng rào thanh toán.
Một mẹo để truy cập Internet miễn phí tại bất kỳ khách sạn nào là gọi sang cho bất kỳ phòng nào khác – có thể là phòng đối diện – đóng giả làm nhân viên dọn phòng. Nếu khách sạn sử dụng ID người gọi, bạn chỉ cần sử dụng điện thoại ở sảnh đợi. Hãy thông báo với người nhấc máy là đồ ăn đang trên đường tới. Khi người này nói rằng cô ấy không gọi đồ, hãy nhã nhặn hỏi xin họ của cô này để điều chỉnh lại. Như vậy, bây giờ bạn đã có cả số phòng (bạn gọi tới phòng đó) và họ của khách trong phòng – đó là tất cả những gì cần thiết để xác thực bạn (một khách không trả tiền) như một khách hợp pháp tại khách sạn đó.
Giả sử bạn đang ở tại một khách sạn năm sao có Internet, miễn phí hoặc trả phí. Khi đăng nhập, có lẽ bạn thấy một thông báo cho bạn biết rằng Adobe (hoặc một số nhà sản xuất phần mềm khác) có bản cập nhật có sẵn. Là một cư dân mạng ngoan ngoãn, có thể bạn sẽ tuân lệnh và tải xuống bản cập nhật. Ngoại trừ một việc là mạng của khách sạn vẫn cần được coi là không thân thiện, ngay cả khi nó có mật khẩu. Đây không phải là mạng gia đình của bạn, vì vậy bản cập nhật có thể không phải là thực, và nếu tiếp tục tải xuống, bạn có thể vô tình cài đặt mã độc trên máy tính.
Nếu bạn thường xuyên đi lại, việc xem xét để cập nhật hay không là một quyết định khó khăn. Bạn chỉ có một lựa chọn là xác minh rằng mình đã có bản cập nhật. Vấn đề là, nếu sử dụng Internet của khách sạn để tải xuống bản cập nhật đó, bạn có thể bị chuyển hướng đến một website giả mạo cung cấp bản “cập nhật” độc hại. Nếu có thể, hãy sử dụng thiết bị di động để xác nhận sự tồn tại của bản cập nhật từ website của nhà cung cấp và nếu nó không quan trọng, hãy đợi cho đến khi bạn trở lại trong một môi trường an toàn, chẳng hạn như văn phòng công ty hoặc ở nhà, để tải xuống.
Các nhà nghiên cứu tại Kaspersky Lab, một công ty phần mềm bảo mật, đã phát hiện ra một nhóm hacker tội phạm mà họ gọi là DarkHotel (còn gọi là Tapaoux), những kẻ sử dụng kỹ thuật này. Chúng hoạt động bằng cách xác định lãnh đạo các công ty có thể đang ở tại một khách sạn sang trọng, sau đó dự đoán ngày họ đến bằng cách đặt phần mềm độc hại trên máy chủ của khách sạn. Khi các các vị lãnh đạo này nhận phòng và kết nối với Wi-Fi của khách sạn, phần mềm độc hại được tải xuống và thực thi trên thiết bị của họ. Sau khi hoàn tất quá trình lây nhiễm, phần mềm độc hại sẽ bị xóa khỏi máy chủ. Các nhà nghiên cứu lưu ý rằng hoạt động này đã diễn ra trong gần một thập kỷ.
Mặc dù nó chủ yếu ảnh hưởng đến lãnh đạo ở các khách sạn sang trọng ở châu Á, nhưng nó có thể cũng phổ biến ở nơi khác. Nhìn chung, nhóm DarkHotel thường tiến hành tấn công spear phishing cấp thấp cho các đối tượng hàng loạt, còn những cuộc tấn công ở khách sạn là nhắm đến những mục tiêu cao cấp, chẳng hạn lãnh đạo trong các lĩnh vực năng lượng hạt nhân và quốc phòng.
