База данных Booking.com взломана

«Взломать» клиента: у Booking.com нашли сверхспособности

Как крупнейший туристический агрегатор управляет поведением своих пользователей

«Черная пятница» – это классический пример того, как предприниматели могут увеличить продажи, сыграв на естественном желании потребителей сэкономить. Компания Booking.com не ограничивает себя разовой акцией: она работает с психологией клиентов в постоянном режиме и добивается завидных результатов. Корреспондент HotLine.travel разобрался, в чем сила Booking.com и в чем его слабые стороны.

Поздравляем, вы в воронке!

Незадолго до «черной пятницы» на VC.ru вышла статья, автор которой со знанием дела разобрал по полочкам принципы работы лидера онлайн-бронирования. Вердикт: Booking.com активно пользуется целым набором психологических ключей. Дизайнеры сайта «Букинга» разработали интерфейс c прицелом на несколько базовых эмоций: страх, жадность, чувство социальной принадлежности и боязнь потери.

Чувство страха активно смешивается с эффектом дефицита с помощью следующих формулировок:
– «три пользователя сейчас просматривают страницу»;
– «последнее бронирование: 5 часов назад»;
– «город N – очень популярное направление на выбранные даты»;
– «вам улыбнулась удача – здесь обычно нет мест».

После того как клиент оказался в тревожном состоянии, ему выдают порцию позитива. Например, «бесплатное повышение категории номера», «забронируйте проживание и получите скидку на аренду любого автомобиля», «доберитесь до статуса Genius и получите скидку 15 %».

Далее идет закрепление выбора через эффект социального одобрения: «хороший вариант для пар – они оценили удобства для поездки вдвоем на 9,1», «этот вариант оправдал и превысил ожидание 97 % гостей, оставивших отзыв», «хит продаж в городе N».

Наконец, окончательная фиксация выбора через эффект снижения риска: «бесплатная отмена бронирования, без предоплаты», «вы можете оформить бронирование без кредитной карты». После такого «перебирания струн» в психике человека ему трудно отказаться от выбора, который во многом был навязан в ходе онлайн-бронирования.

Эксперт туроператорского рынка Игорь Козлов подтверждает всю серьезность психологического подхода Booking.com. По его словам, еще три года назад директор по маркетингу этой компании заявил, что выстроен отличный сервис, сформирована так называемая воронка продаж и теперь начался обратный путь на верх воронки – к эмоциям потребителя. С помощью зацепок, подталкивания, напоминаний направить клиента к покупке. Сначала это заявление было не очень понятно, но после того, как на сайте появились известные строчки: «в этом отеле номера купили уже несколько человек», «эту страницу просматривают сейчас столько-то человек» и т. д., всё встало на свои места. «Букинг» выбрал стратегическую линию по «взламыванию» клиентов, используя инструментарий когнитивного (психологического) маркетинга.

Сначала бронируем, потом – думаем?

Конечно, есть рациональные пользователи, которые не попадутся ни на какие уловки. Часто рассказывают о схеме: зашел на «Букинг», выбрал нужный отель, затем обратился к нему напрямую и получил скидку от опубликованной цены. Но, как показывает практика, эта категория потребителей относительно малочисленна, особенно в России. Во-первых, ходить по сайтам, обзванивать отели, выяснять хитросплетение тарифов многим лень. Во-вторых, Booking.com наработал большой кредит доверия – пользователи искренне верят, что там дешевле.

По словам Игоря Козлова, компания очень точно уловила менталитет россиян, которые не любят «ковыряться в деталях», чаще принимают решения на эмоциях в отличие от тех же европейцев. Последние могут дотошно исследовать сайты, докапываться до низких цен, скидок и бонусов. А у нас, как говорится, люди сначала покупают стиральную машину, а потом открывают инструкцию к ней.

Методы и средства взлома баз данных MySQL

Содержание статьи

MySQL — одна из самых распространенных СУБД. Ее можно встретить повсюду, но наиболее часто она используется многочисленными сайтами. Именно поэтому безопасность базы данных — очень важный вопрос, ибо если злоумышленник получил доступ к базе, то есть большая вероятность, что он скомпрометирует не только ресурс, но и всю локальную сеть. Поэтому я решил собрать всю полезную инфу по взлому и постэксплуатации MySQL, все трюки и приемы, которые используются при проведении пентестов, чтобы ты смог проверить свою СУБД. 0day-техник тут не будет: кто-то еще раз повторит теорию, а кто-то почерпнет что-то новое. Итак, поехали!

Вместо предисловия

Начнем с определения. MySQL — это реляционная система управления базами данных, которая обладает разными движками хранения данных: MyISAM, InnoDB, Archive и другими. Как и у большинства open source проектов, у нее существуют свои ответвления, например MariaDB. Забегая вперед, скажу, что большинство рассмотренных векторов/техник/багов распространяется на различные движки и на ответвления, правда не всегда.

Различные версии MySQL под разные платформы можно взять тут

Поиск жертв

Но перейдем непосредственно к делу. Для того чтобы кого-нибудь поломать, нужно его для начала найти. Допустим, что мы уже знаем, кто наша жертва, знаем его IP либо находимся в его локальной сети. Нам нужно просканировать его адрес (сеть) на наличие открытых портов. По стандарту MySQL использует порт 3306, его мы и будем искать. В арсенале каждого хакера должен присутствовать сканер Nmap, который позволяет находить различные сервисы, порты на целевых машинах. Пример команды для сканирования выглядит следующим образом:

  • -PN — очень полезная вещь, указывающая программе пропускать этап обнаружения хоста и сразу переходить к сканированию портов. Это нужно в том случае, если машина не отвечает на ping-сканирование, но при этом у машины могут быть открыты порты. В таком случае без данного флага Nmap пропустит данный хост;
  • -sV исследует открытые порты с целью получения информации о службе.

Для UDP-сканирования должен присутствовать флаг -sU.

SHODAN

Если у тебя нет определенной жертвы и ты хочешь протестировать свои навыки, то можешь воспользоваться хакерским поисковиком Shodan. Он позволяет делать поиск по хостам и выводить информацию о различных сервисах на основе баннеров ответов. Также имеет возможность фильтровать по портам, стране, городу, операционным системам и так далее. Одна из отличнейших фишек — поиск сервисов с анонимной авторизацией или авторизацией со стандартными кредами. Очень полезный сервис, но лучше всего проводить тесты уязвимостей на своих локальных ресурсах :).

Хакер #195. Атаки на Oracle DB

GitHub

Одна из крутейших фишек легкого доступа к базам данных — поиск исходников каких-либо проектов на GitHub. Прежде чем искать и раскручивать SQL Inj на сайте, что может занять достаточно длительное время (если таковые вообще присутствуют), достаточно просто зайти на всеми любимый сайт для совместной разработки, вписать пару слов и при должном везении получить доступ к сорцам. Многие разработчики в силу непонятных причин заливают свои проекты в общий доступ — может, по глупости, может, им жалко денег на приватный репозиторий, а может, они хотят поделиться со всем миром своим великолепным кодом, но на GitHub лежит огромная куча исходников, от маленьких сайтиков до больших проектов. Это зачастую сильно упрощает работу. Допустим, если мы введем такой поисковый запрос username mysql password database , то можно просто потерять сознание от количества результатов. Особенно много сладких PHP-файлов, в которых прописывается коннект к базе данных.

Рис. 2. Наглядные результаты по поиску кредов MySQL на GitHub

Поэтому первым делом на пентестах мы бежим и проверяем GitHub на наличие исходников клиента. Если что-то находится, то можно смело коннектиться к базе данных, после чего, отталкиваясь от прав, извлекать нужные нам данные. Но если уж получилось так, что мы не смогли найти заветных строчек username/password, не стоит отчаиваться — можно порыться в исходниках сайтов, если они присутствуют, и проводить аудит уже не вслепую, а с исходным кодом сервиса. Он значительно облегчает задачу поиска уязвимостей: теперь мы будем не просто фазить наобум, а проверять определенные векторы, выстроенные на основе исходников. Например, смотреть, в каких местах производится обращение в базу, используется ли фильтрация данных от клиента и так далее.

Инструментарий

Для поиска инъекций существуют разные способы: автоматически или вручную вставлять везде кавычку (фаззинг); использовать фишку с Гитхабом, уповая на неосторожность разработчиков исследуемого сервиса. И наконец настал момент истины: мы нашли нашу долгожданную инъекцию и готовы внедряться по полной. Но вот беда, у нас появились неотложные дела (друзья зовут попить пива), или нас одолела ужасная необоримая лень. Не стоит расстраиваться, на помощь придет отличная тулза sqlmap, которая автоматизирует процесс поиска и эксплуатации SQL-инъекций, и не просто найдет дыру в безопасности, а проэксплуатирует ее по полной программе. Поддерживает все виды инъекций. Функционал sqlmap позволяет: дампить базы, автоматически искать в базе, извлекать и расшифровывать логины и пароли, запускать cmd shell, запускать интерактивный sql shell, в котором тебе нужно только писать SQL-запросы в базу, а sqlmap сам составит payload для инъекции. Существует отличный Cheet Sheet, который в двух страничках показывает все возможности данной тулзы.

Есть еще несколько инструментов, которые пригодятся тебе в нелегком деле покорения MySQL. В особенном представлении они не нуждаются, так как наверняка ты о них уже не раз (не одну тысячу раз) слышал. Первый — Metasploit, одна из ключевых программ для хакинга, позволяющая создавать эксплойты, проводить их отладку. Второй — сканер Nmap, про который в журнале тоже не раз писали.

Информации по всем перечисленным инструментам хватает с избытком, поэтому мы не будем углубляться в детали их использования, кто их еще не юзал — обязательно должен это сделать, а Google и официальные сайты ему в этом помогут. Мы же двигаемся дальше.

Сбор информации

Нужно начать с самого простого — сбора информации. В Metasploit для этого служит auxiliary/scanner/mysql/mysql_version , просто сканер версий, который может сканировать целый пул адресов:

В Nmap также существует модуль, который подключается к серверу и выводит разную полезную информацию: протокол, номер версии, состояние и соль.

Брутфорс

Среди основных вещей, которые приходится часто выполнять, конечно, брутфорс — проверка на слабые или стандартные пароли пользователей. Но прежде чем приступать к подбору паролей, можно провести атаку user enumeration (перечисление пользователей). Ее можно провести против серверов версии 5.x, которые поддерживают старые механизмы аутентификации (CVE-2012-5615). После сканирования мы будем знать, какие пользователи существуют в базе, что значительно сокращает пул пользователей для бруторса.

Составив наш пул имен и паролей, приступаем к бруту:

Nmap использует стандартные списки паролей и пользователей, но всегда можно взять свои:

Кстати говоря, вот тебе отличный репозиторий, где можно найти самые популярные логины, пароли и не только. Ну и обычно при брутфорсе выполняется еще одна простая, но довольно важная проверка на пустой пароль для пользователя root или anonymous:

Постэксплуатация

Следующий важный шаг, который наступает после получения логина/пароля (через инъекцию или полным перебором), — это постэксплуатация. Я перечислю различные модули для Nmap’а и их предназначение. Итак, модуль, который производит вывод баз данных:

Читайте также:  Ужесточение контроля на границах Евросоюза - Туризм. Путешествуем по миру с Гномом

Модуль, который производит вывод пользователей:

Модуль, который производит вывод переменных:

Модуль, который производит вывод пользователей и их хешей в виде, удобном для брутфорса:

Модуль, который заменяет клиент MySQL и отправляет запросы в удаленную базу:

Сканирование на CVE-2012-2122

Отдельно стоит упомянуть про один интересный модуль, который присутствует как в Metasploit, так и в Nmap, — модуль проверки на CVE-2012-2122. Данная уязвимость позволяет удаленным пользователям обходить аутентификацию из-за ненадлежащей проверки возвращаемых значений. Существует возможность авторизации с неправильным паролем с вероятностью 1/256, так как MySQL считает, что пришедший токен от пользователя и ожидаемое значение равны. Используя известное имя пользователя (например, root, который присутствует практически всегда) с любым паролем, можно подключиться к базе, повторяя подключение порядка 300 раз. После чего можно сдампить все пароли пользователей, сбрутфорсить их и коннектиться уже с легитимным паролем. Но не все так хорошо, как кажется, — данной уязвимости подвержены только сборки, где функция memcmp() возвращает значения за пределами диапазона от –128 до 127, то есть это достаточно ограниченное число систем:

  • Ubuntu Linux 64-bit (10.04, 10.10, 11.04, 11.10, 12.04);
  • OpenSuSE 12.1 64-bit MySQL 5.5.23-log;
  • Debian Unstable 64-bit 5.5.23-2;
  • Fedora;
  • Arch Linux.

Но если есть даже самая незначительная возможность попасть в базу, то стоит попробовать:

Для Nmap при сканировании нужно использовать скрипт mysql-vuln-cve2012-2122 :

Бородатый UDF

В далекие-далекие времена, когда еще во вселенной MySQL не было введено триггеров и хранимых процедур, существовала поддержка User-Defined Function (определенные пользователем функции). Но в современном мире данная фишка тоже имеет место быть и поддерживается до сих пор в качестве внешних хранимых функций. Данные функции не просто комбинируют разные SQL-операторы в какой-то определенный запрос, а еще и сильно расширяют функциональность самой базы. Так как, в отличие от Oracle Database, в MySQL не существует наикрутейшей Java-машины, с помощью которой можно крушить все и вся в базе, одним из немногочисленных способов выполнять команды на сервере через базу остается UDF. Во времена 4-й версии MySQL это был эксплойт Raptor, но он имел ряд ограничений, в том числе несовместимость с MySQL 5.0 и выше.
В данный момент существует легальная библиотека, которую можно скачать с легального сайта. Она содержит в себе четыре функции:

  1. sys_eval(arg1) — выполняет произвольную команду и возвращает вывод внешней команды.
  2. sys_exec(arg1) — выполняет произвольную команду и возвращает код возврата.
  3. sys_get(arg1) — позволяет получить переменную окружения или NULL, если таковой нет.
  4. sys_set(arg1, arg2) — позволяет задать переменную окружения (параметры: имя переменной, значение), возвращает 0 в случае успеха.

Библиотека устанавливается в один из путей /usr/lib/mysql , /usr/lib/mysql/plugin/ или другие в зависимости от системы. После чего приходит время исполнять команды в базе. Но сначала надо создать функцию:

А затем можно уже и выполнять с ее помощью различные команды:

Чтобы создавать и удалять функции, необходимо обладать привилегиями INSERT и DELETE . Поэтому проэксплуатировать данную багу можно, только если у пользователя, к которому у тебя есть доступ, выставлена привилегия FILE , позволяющая читать и записывать файлы на сервер с помощью операторов LOAD DATA INFILE и SELECT . INTO OUTFILE . Данный вариант всегда стоит проверить, ведь нерадивые админы еще существуют. Зачастую очень многие работают с базой от имени root’а, поэтому даже инъекции может хватить, чтобы заполучить полный контроль над машиной. Просмотреть привилегии можно в таблице user , db , host , tables_priv и columns_priv в базе mysql . set mysql; — для смены базы, select * from user; — для вывода таблицы.
Второе условие — функция lib_mysqludf_sys уже установлена в MySQL. Дальше все просто — создаешь функцию, исполняешь команды.
Еще один вариант — это собственноручная установка в качестве бэкдора в системе. Если тебе нужен удаленный, скрытый доступ к системе, то вариант прокачки базы с помощью легитимной, собственноручной установки lib_mysqludf_sys выглядит хорошим способом.

Техника эта не нова, и поэтому все до нас уже сделано и автоматизировано, так что не придется самому устанавливать функцию, если под рукой есть Metasploit:

То же самое умеет делать и sqlmap, так что, если ты нашел инъекцию, дальше можешь смело отдавать бразды правления ему.

Сценарий использования UDF

Один из возможных сценариев заливки шелла / повышения привилегий может выглядеть таким образом. Для начала нужно получить доступ к самой базе (пользователю root либо другому, обладающему привилегией FILE ) через инъекцию, брутфорс или иначе. После чего нам нужно получить копию библиотеки UDF на атакуемой машине, учитывая операционную систему и ее битность. Можно воспользоваться вариантами, входящими в состав sqlmap, которые можно взять тут. Кстати, в данном репозитории присутствуют библиотеки и для Windows. Закинуть копию библиотеки на сервер можно по-разному:

  • используя функционал сайта по загрузке картинок, файлов и прочего;
  • через открытый или взломанный FTP-сервер.

Следующим шагом является выполнение SQL-запросов для того, чтобы загрузить наш шелл в таблицу, после чего извлечь его в нужную нам папку ( /usr/lib для Linux, c:windowssystem32 для Windows). Далее мы создаем новую функцию в MySQL, теперь у нас есть рабочий шелл и возможность RCE на сервере.

Пример для Windows с созданием пользователя:

Как вариант, можно подключить RDP:

Заключение

Точек вхождения в чужую базу MySQL не так уж и много по сравнению с другими СУБД: SQL Injection, поиск логинов и паролей на GitHub, брутфорс, уязвимость к багам из паблика. К методам постэксплуатации можно еще дополнительно отнести повышение привилегий, DoS-атаки, применение триггеров и хранимых процедур. Правда, отдельные из них относятся к частным случаям, которые нечасто можно встретить либо для которых нужны очень специфичные условия.

Я же хотел показать тебе, как можно быстро и без особых усилий проверить нужную базу. Как видишь, в данный момент все стало автоматизированным, что позволяет проводить проверку в фоне, занимаясь своими делами. На этом все. И помни, что большая сила накладывает большую ответственность :).

Как обезопасить себя от мошенничества и обмана на Booking.com и других сайтах

С каждым годом становится всё больше самостоятельных туристов, которые не хотят зависеть от туроператоров.

Спрос рождает предложение: на сайтах-агрегаторах появляются тысячи новых объектов размещения. И владельцы некоторых из них могут оказаться недобросовестными.

Как это происходит

Крупнейшие системы интернет-бронирования отелей, Booking.com и Agoga.com, гарантируют клиенту в лице туриста безопасность и сохранность платежных данных. Однако среди владельцев объектов размещения иногда встречаются мошенники, которые находят способы обмануть систему. На случай возникновения критической ситуации во вкладке “Контакты” на обоих сайтах указаны адрес электронной почты и номер телефона для экстренной связи — заранее сохраните их в своем смартфоне.

Заселение в другой отель.

Бронируя отель, турист тщательно рассматривает фотографии, читает отзывы, изучает местоположение отеля относительно транспорта и достопримечательностей. Но может случиться так, что, приехав в другую страну, турист услышит от администратора отеля или самого владельца следующее: “Извините, на ваши даты у нас мест нет. Но мы можем предложить вам номер с лучшими условиями проживания в одном из отелей нашей сети”. Разумеется, отель, куда привозят туриста, находится где-то на окраине города, а условия там значительно хуже: подтекающий кран, неработающий кондиционер, грязное постельное бельё… Туриста пытаются убедить, что он находится в самом лучшем отеле города и просто не осознает собственного счастья.

Что делать в этом случае

Нельзя идти на поводу у мошенников. Если деньги уже были списаны с вашей карты, настаивайте на возврате. Возможно, недобросовестный владелец сети отелей предложит еще несколько вариантов на выбор, но действительно хорошего среди них не окажется. Хозяин будет торговаться и мотать нервы до последнего, утверждая, что деньги нужно требовать с “Букинга” или “Агоды”, а он здесь ни при чем. Это ложь: объект размещения самостоятельно списывает деньги с клиентов. Сообщите мошеннику, что вы давно путешествуете и знаете, как работают системы бронирования. Допускается ведение переговоров в резкой форме. Если вы недостаточно хорошо владеете английским языком, излагайте свои требования в письменном виде, пользуясь приложениями-переводчиками. Обычно в таких случаях мошенникам надоедают скандальные посетители и деньги возвращают наличными.

Звонить на горячую линию системы бронирования стоит в том случае, если вы должны были оплачивать проживание при заселении, но свободных мест в выбранном отеле внезапно не оказалось. Особенно лоялен к туристам в этом плане “Букинг”. Сотрудники постараются в кратчайшие сроки подобрать похожий вариант размещения по аналогичной цене. Если найденный вариант окажется дороже, вы должны сохранить чек за оплату проживания и выслать его на электронный адрес “Букинга”. В течение нескольких дней вам вернут на карту разницу в цене.

Отказ в возврате средств за отмену бронирования с бесплатной отменой

Бронируя отели за несколько месяцев до заезда, туристы стараются выбрать варианты с бесплатной отменой. Некоторые объекты размещения запрашивают данные кредитной карты, которые нужны якобы только для гарантии бронирования.

Перед тем, как ввести все данные, обязательно прочитайте условия, написанные очень мелким шрифтом. Если вы увидите фразу “объект размещения может списать с вас средства в любое время” — лучше выберите другой отель.

Даже если деньги списываются с карты, бесплатная отмена бронирования предполагает, что они будут возвращены в полном объеме, если турист вдруг изменит свои планы и решит отказаться от этого варианта размещения. Отменив бронирование, вы получите уведомление о сроке, в течение которого списанные средства вернутся на карту.

Но может случиться так, что объект размещения будет тянуть время и, в конце концов, деньги так и не вернет.

Что делать в этом случае

Не торопитесь оплакивать утраченные средства. Напишите письмо в службу поддержки “Букинга” (именно в этой системе в последнее время участились случаи мошенничества), укажите номер и PIN-код бронирования, подробно изложите суть проблемы. После отправки обращения на сайте высветится уведомление: “Спасибо за обращение! Мы постараемся ответить вам в течение ближайших 24 часов”. Но всё не так просто: сотрудники службы поддержки игнорируют большинство обращений. Для того, чтобы деньги вам всё-таки вернули, позвоните по телефону горячей линии.

Лучше всего звонить по номеру для Genius-клиентов: +7(499)-271-87-34.

Даже если вы владеете английским на уровне носителя, разговаривайте с русскоязычными сотрудниками: у вас могут запросить банковские документы, которые, с большей долей вероятности, будут на русском языке.

Читайте также:  Какие наиболее популярные страны у самостоятельных туристов Сервис Туту.ру определил среди самостоятельных туристов самые популярные страны, которые выбрали на это лето Туризм. Путешествуем по миру с Гномом

Согласно регламенту, “Букинг” связывается с объектом размещения и дает ему несколько дней, в течение которых деньги должны быть возвращены клиенту.

Если объект размещения не присылает документов, подтверждающих возврат средств, все данные перенаправляются в финансовый отдел – средства пострадавшему клиенту вернет сам “Букинг”. К сожалению, после этого ещё несколько раз придётся позвонить в службу поддержки и поинтересоваться, как продвигаются дела в финансовом отделе. Сотрудники колл-центра сначала будут называть сроки от 7 до 12 рабочих дней, а потом обещать, что “на днях вам уже должно прийти письмо”.

Деньги, украденные недобросовестными отельерами, “Букинг” действительно возвращает – на почту приходит письмо с адреса customer.care@booking.com и темой письма “СС invitation”. В письме содержится ссылка для ввода данных карты, куда должны быть зачислены деньги.

Списание средств по отмененному бронированию

Отменив бронирование, клиент “Букинга” благополучно о нем забывает. И, конечно, он испытывает крайне негативные эмоции, когда получает sms-уведомление о снятии средств за проживание в объекте размещения, бронирование которого давно было отменено. Вероятнее всего, это – продолжение истории, описанной выше.

По одной из непроверенных версий, платежные данные, которые турист вводит якобы только для гарантии бронирования, на некоторое время становятся доступными владельцу или администратору объекта размещения. Сотрудники службы поддержки Booking.com не дают на этот счет однозначных пояснений: некоторые говорят, что владелец объекта размещения может переписать данные кредитной карты туриста, в том числе и трехзначный код, другие же утверждают, что “быть такого не может”.

Что делать в этом случае: Для начала зайдите в мобильное приложение вашего банка и узнайте статус платежной операции. Если она ожидает подтверждения, попробуйте позвонить на горячую линию банка и отменить транзакцию. Кредитную карту в этом случае заблокируют. Но может случиться и так, что операторы колл-центра банка будут повторять по кругу одну и ту же фразу: “С вас списывает средства торговая точка за оказанную услугу, у нас нет основания отменить транзакцию”. Даже если вы сорвете голос, крича оператору о том, что вас обворовывают, транзакцию проведут в любом случае, а вашу карту заблокируют. Поскольку вам предстоит очередная процедура возврата денег, не соглашайтесь на блокировку – в этом случае вы не сможете сформировать отчет о движении средств по вашей карте с подтверждением снятия денег отелем-мошенником.

Подобные случаи на “Букинге” – редкость. Но ни в коем случае не опускайте руки: возьмите банковскую выписку, где украденная сумма указана не только в валюте, но и в рублях. Далее вам снова предстоит общение со службой поддержкой “Букинга”. Будьте готовы к тому, что специалист службы поддержки не сразу поймет суть проблемы и будет настаивать на том, что дата вашего заезда еще не подошла. Именно поэтому заранее отправьте обращение через форму на сайте с указанием номера бронирования и PIN-кода. Укажите, когда было сделано бронирование и когда вы его отменили, если вам уже однажды возвращали деньги, напишите все даты и сроки.

Регламент обязывает сотрудников службы поддержки сделать запрос в объект размещения, поэтому вам придется подождать несколько дней, прежде чем ваши документы будут переданы в финансовый отдел “Букинга”. Потребуйте, чтобы оператор проверил, подходит ли формат вашей банковской выписки для возврата средств.

Прежде, чем вы получите письмо “СС invitation”, может пройти несколько недель: финансовый отдел агрегатора проводит тщательную проверку и, возможно, всё же пытается получить деньги от отеля.

Если вы, получив свои деньги назад, не успели вовремя заблокировать или перевыпустить карту, будьте готовы к тому, что недобросовестный объект размещения спишет с вас деньги снова. Как правило, отельеры-мошенники списывают с клиента одну и ту же сумму. Будьте уверены, что “Букинг” вернет ваши деньги, причем в рублях по курсу снятия. Кроме того, вы имеете право потребовать с агрегатора следующее:

проценты, которые были начислены за увеличившуюся сумму задолженности по кредитной карте;

возмещение средств, потраченных на звонки в “Букинг” – у агрегатора нет бесплатных номеров;

моральную компенсацию (обычно выплачивают 25 евро).

Агрегатор возместит ваши затраты только при предоставлении соответствующих документов.

Почему возникают случаи мошенничества в такой системе, как Booking.com

“Букинг” работает с 1996 года. Казалось бы, работа системы должна быть четко отлажена, а данные надежно защищены. Но именно огромное количество и объектов размещения, и туристов приводит к тому, что агрегатор не имеет возможности контролировать действия каждого из них.

В отеле может не оказаться мест, потому что хозяева продают на “Букинге” больше номеров, чем есть на самом деле. Так они пытаются обезопасить себя: многие туристы бронируют отели только для получения визы или просто отменяют бронь в последний момент.

Гораздо сложнее объяснить ситуации, когда владельцы отелей списывают деньги по отмененному бронированию. Возможно, их терминал настроен таким образом, что с клиента снимаются средства и сразу после бронирования, и в тот день, когда отмена перестает быть бесплатной, и в последний день – в качестве штрафа за незаезд. Команда “Букинга” активно борется с мошенничеством на сайте: договоры с отельерами-мошенниками расторгаются, отели вносятся в черный список, который передается агрегаторам-партнерам.

Некоторые туристы выкладывали в Сеть в качестве доказательства ненадежности “Букинга” распечатки данных карт, найденных на стойке администратора. Не стоит им доверять: в этом случае более половины отельеров пользовались бы данными карт своих постояльцев.

Однако на практике бывали уникальные случаи, когда турист бронировал отель средней ценовой категории, после чего получал sms-оповещение о снятии средств в размере доступного кредитного лимита за проживание в отеле класса “люкс”. Как правило, в таких случаях служба поддержки “Букинга” помочь не может и дело доходит до суда.

Как обезопасить себя

Никогда не вводите на “Букинге” и других агрегаторах данные кредитной карты. Заведите на этот случай дебетовую карту платежной системы Visa или MasterCard с дешевым годовым обслуживанием, также подойдет виртуальная (цифровая) карта. Денег на такой карте быть не должно. Некоторые отели, несмотря на возможность бесплатной отмены бронирования до определенной даты, пытаются сразу же списать средства с карты клиента. Если попытка не удается, бронирование автоматически отменяется. Никаких штрафов с вас не возьмут ни отель, ни система бронирования.

В каждом бронировании указана дата, до которой можно совершить бесплатную отмену. Иногда объект размещения снимает деньги с карты именно в этот день. Поэтому напишите в объект заранее и уточните, когда вам нужно будет платить. Накануне указанного дня пополните карту строго на необходимую сумму.

Если вы забронировали отель с оплатой при заезде, обязательно распечатывайте подтверждение бронирования с сайта с суммой оплаты в местной валюте. Так владельцы объекта размещения не смогут обмануть вас, назвав совсем другую цифру.

Столкнувшись с мошенничеством, обратитесь в свой банк и оформите перевыпуск карты. Желательно, чтобы банк выдал вам карту с новым номером.

Напишите в объект размещения минимум за неделю до заезда. Попросите, чтобы вам объяснили, как добраться от аэропорта и вокзала, прислали фото входной двери и близлежащих ориентиров, а также спросите, есть ли возможность оставить вещи после чек-аута. Повода для беспокойства нет, если персонал охотно отвечает на все вопросы. Если же ваши вопросы игнорируют – лучше забронировать другой отель.

Все новости

Россиян выступают за маркировку потребительских товаров

На столько упали продажи пиротехники в России

11 Ноября 2014, 10:41

Клиенты Booking.com могут стать жертвами мошенников

Злоумышленники пытаются получить деньги с заказчиков интернет-сервиса бронирования отелей Booking.com с использованием похищенной базы данных о реальных заказах. Это следует из проведенного «Лентой.ру» анализа нескольких попыток такого мошенничества.

Несколько российских пользователей Booking.com сообщили «Ленте.ру», что в конце октября мошенники направили в их адрес электронные письма с требованием предоплаты забронированных номеров, не предусмотренной условиями заказа.

Письма направлялись как от имени клиентской службы самого Booking.com, так и от имени отелей, в которых пользователи забронировали номера. В письмах требовалось оплатить заранее 100 процентов стоимости заказа, что обычно не принято делать на Booking.com. В случае, если клиент откликался на это предложение, ему высылались реквизиты банковского счета, на который предлагалось перевести платеж.

При этом в письмах указывались реальные названия отелей, сроки бронирования и регистрационные номера заказов.

Как показало изучение электронной переписки, предоставленной «Ленте.ру» клинетами Booking.com, доменные имена, использованные мошенниками для размещения почтового сервера, с которого они осуществляли рассылку, не имеют никакого отношения к настоящим почтовым серверам ни ресурса Booking.com, ни отелей, от имени которых требовалась предоплата.

Например, доменные имена, с которых отсылались мошеннические письма в период 27-28 октября текущего года были зарегистрированы одним из зарубежных доменных регистраторов всего за несколько дней до этого — 24-25 октября. Это факт типичен для мошеннического приема, известного как фишинг, когда у потенциальной жертвы пытаются выманить деньги с помощью обманных электронных писем.

Из переписки пользователей с самим Booking.com следует, что сервис знает о мошеннических попытках.

«Действия мошенников затронули некоторое небольшое количество нескольких наших пользователей, у которых пытались получить данные об их банковских картах», — говорится в письме клиентской службы Booking.com. В письме рекомендуется после получения просьбы о предоплате никаких денег не платить, а обратиться непосредственно в Booking.com.

Клиентская служба не сообщает, каким образом мошенникам могли стать известны реальные данные о заказах, сделанных пользователями. Не ответил «Ленте.ру» на этот вопрос и глава службы по связям с общественностью сервиса Андре Маннинг (André Manning). По словам Маннинга, Booking.com действительно зафиксировал фишинговую атаку на своих пользователей и готов компенсировать пострадавшим финансовые потери, общий размер которых компания не раскрывает.

Как заявил также Маннинг, ни Booking.com, ни его партнеры не виновны в утечке данных о заказах клиентов, однако компания, тем не менее, «немедленно усилила меры безопасности».

В то же время, полное совпадение всех параметров заказа с данными, которые указывали в своих письмах мошенники, говорит о том, что они располагают актуальной базой заказов.

В заключение следует напомнить обычную рекомендацию специалистов по информационной безопасности о том, как не попасться на удочку мошенников, рассылающих фальшивые электронные письма от имени настоящих компаний. Получив подозрительное письмо, следует не спешить с выполнением требований, а позвонить по телефону, указанному на официальном сайте компании.

Кроме того, нужно обращать внимание на адрес, с которого отправлено такое письмо. Если имя почтового сервера в письме отличается от официальной почты компании, такое письмо практически несомненно является мошенническим. В данном случае, письма от имени Booking.com приходили с адреса @booking-bvu.com, тогда как официальная почта сервиса использует адреса формата @booking.com.

Читайте также:  Увеличение турпотока в Алтае и курортный сбор - Туризм. Путешествуем по миру с Гномом

Клиенты Booking.com могут стать жертвами мошенников

Злоумышленники пытаются получить деньги с заказчиков интернет-сервиса бронирования отелей Booking.com с использованием похищенной базы данных о реальных заказах. Это следует из проведенного «Лентой.ру» анализа нескольких попыток такого мошенничества.

Несколько российских пользователей Booking.com сообщили «Ленте.ру», что в конце октября мошенники направили в их адрес электронные письма с требованием предоплаты забронированных номеров, не предусмотренной условиями заказа.

Письма направлялись как от имени клиентской службы самого Booking.com, так и от имени отелей, в которых пользователи забронировали номера. В письмах требовалось оплатить заранее 100 процентов стоимости заказа, что обычно не принято делать на Booking.com. В случае, если клиент откликался на это предложение, ему высылались реквизиты банковского счета, на который предлагалось перевести платеж.

При этом в письмах указывались реальные названия отелей, сроки бронирования и регистрационные номера заказов.

Как показало изучение электронной переписки, предоставленной «Ленте.ру» клинетами Booking.com, доменные имена, использованные мошенниками для размещения почтового сервера, с которого они осуществляли рассылку, не имеют никакого отношения к настоящим почтовым серверам ни ресурса Booking.com, ни отелей, от имени которых требовалась предоплата.

Например, доменные имена, с которых отсылались мошеннические письма в период 27-28 октября текущего года были зарегистрированы одним из зарубежных доменных регистраторов всего за несколько дней до этого — 24-25 октября. Это факт типичен для мошеннического приема, известного как фишинг, когда у потенциальной жертвы пытаются выманить деньги с помощью обманных электронных писем.

Из переписки пользователей с самим Booking.com следует, что сервис знает о мошеннических попытках.

«Действия мошенников затронули некоторое небольшое количество нескольких наших пользователей, у которых пытались получить данные об их банковских картах», — говорится в письме клиентской службы Booking.com. В письме рекомендуется после получения просьбы о предоплате никаких денег не платить, а обратиться непосредственно в Booking.com.

Клиентская служба не сообщает, каким образом мошенникам могли стать известны реальные данные о заказах, сделанных пользователями. Не ответил «Ленте.ру» на этот вопрос и глава службы по связям с общественностью сервиса Андре Маннинг (André Manning). По словам Маннинга, Booking.com действительно зафиксировал фишинговую атаку на своих пользователей и готов компенсировать пострадавшим финансовые потери, общий размер которых компания не раскрывает.

Как заявил также Маннинг, ни Booking.com, ни его партнеры не виновны в утечке данных о заказах клиентов, однако компания, тем не менее, «немедленно усилила меры безопасности».

В то же время, полное совпадение всех параметров заказа с данными, которые указывали в своих письмах мошенники, говорит о том, что они располагают актуальной базой заказов.

В заключение следует напомнить обычную рекомендацию специалистов по информационной безопасности о том, как не попасться на удочку мошенников, рассылающих фальшивые электронные письма от имени настоящих компаний. Получив подозрительное письмо, следует не спешить с выполнением требований, а позвонить по телефону, указанному на официальном сайте компании.

Парсер Booking.com

Парсер Booking.com – это настройка Datacol, которая автоматически получает информацию об отелях с сайта booking.com.

С помощью этой настройки вы сможете:

  • Автоматизировать работу с крупным сайтом по бронированию жилья;
  • Более 15 форматов для экспорта собранных данных, а именно: экспорт в базу данных, в CMS, в файлы CSV, XML, XLS, возможность настроить собственный формат экспорта;
  • Возможность цикличного запуска кампаний.

Полученная в процессе парсинга информация сохраняется в Excel файл:

кликните на изображении для увеличения

Проверить работу парсера Booking можно бесплатно в демо-версии программы.

Основные преимущества парсера Booking.com на базе Datacol это:

  • Возможность донастройки парсера Booking.com конкретно под ваши нужды (вами либо нами на платной основе).
  • Возможность переводить, уникализировать, дополнительно обработать собранные данные с помощью плагинов а также загружать их в различные форматы и CMS.
  • Возможность цикличного запуска кампаний. Когда результаты выполнения первой задачи парсинга будут входными данными для второй задачи по сбору данных. Подробнее смотрите здесь.

Варианты использования парсера Booking.com

Booking.com — это международный сайт для поиска и бронирования жилья. Сайт будет полезен тем, кто едет отдыхать или в деловую поездку в любую точку мира. Услуги компании Booking предоставляются абсолютно бесплатно, отмена брони во многих случаях также может производиться бесплатно. Сайт Booking.com переведен на более чем 40 языков и предлагает более миллиона вариантов размещения в 225 странах мира. Именно поэтому автоматический сбор информации об отелях с Booking.com очень популярен.

Описание работы парсера Booking

Выполнить автоматизацию можно с помощью программы Datacol. Парсер Booking автоматически производит сбор следующих данных: название отеля, адрес, оценка, описание и изображение. Информация об услугах автоматически сохраняется в CSV файл. Настройка будет полезна людям и командам, которые работают в сфере гостиничного бизнеса и хотят автоматизировать сбор данных.

Тестирование парсинга Booking

Чтобы протестировать работу парсера Booking:
Шаг 1. Установите демо-версию программы Datacol. Демо-версия программы имеет все возможности платной, но сохраняет только первые 25 результатов парсинга.

Шаг 2. В дереве кампаний присутствует кампания booking.com.par. Выберите ее и нажмите кнопку Запуск (Play). Перед запуском вы можете отредактировать Входные данные. Так вы сможете задать ссылки на выдачу отелей, которую вы хотите отпарсить.

кликните на изображении для увеличения

кликните на изображении для увеличения

кликните на изображении для увеличения

Если сайт-источник забанит ваш IP адрес (обычно в результате этого перестают находиться новые результаты), задействуйте прокси.

Обработка и экспорт данных

Способы обработки данных, собранных парсером Booking:

Форматы экспорта данных, собранных парсером Booking:

Загрузка в CMS/магазин/сайт»

Если у вас не получается самостоятельно загрузить собранные данные в свою CMS/интернет магазин/сайт, оставьте заявку и мы постараемся Вам помочь.

Задать вопрос

Если у вас возник вопрос по парсингу Booking.com:

Популярные вопросы:

Пожалуйста ознакомьтесь с базовыми справочными материалами. После ознакомления воспользуйтесь нашей поддержкой на форуме. Поддержка отвечает с понедельника по пятницу.

Все условия приобретения программы приведены здесь.

После поступления оплаты за лицензию на адрес электронной почты, указанный при покупке, Вы получите код активации программы и информацию о сроках действия Вашей лицензии. Инструкцию по активации можно посмотреть здесь.

Вы можете приобрести Datacol и в рамках него настроить необходимую компанию (либо воспользоваться базовой настройкой, если таковая имеется). Перед покупкой вы можете описать нам свою задачу, чтобы мы могли ознакомиться с ней и подтвердить что она реализуема в рамках Datacol. Задачу необходимо описать СТРОГО по данному плану — обязательно со скриншотами!

Как безопасно бронировать отель на Booking.com (лайфхак)

Только вчера написал пост, как меня обманул Связной Трэвел продав мне авиабилет без багажа, как сегодня пришла очередь букинга. Букингу обманывать нет резона, т.к. авторитет этого ресурса дорогого стоит. Однако одну очень хитрую лазейку, которая работает против клиента я сегодня обнаружил. Обманом ее трудно назвать, но о ней нам нужно всем знать.

Начну с того, что раньше я всегда бронировал отель с возможностью бесплатной отмены бронирования. Таких вариантов была масса, если не сказать, что это была большая часть всех предложений. Согласитесь – удобно. Находишь отель, ставишь его в бронь и он практически до вашего приезда будет зарезервирован за вами. Перед началом путешествия проверяешь снова предложения по отелям и если находишь более интересный вариант, отменяешь предыдущую бесплатную бронь. Так я делал всегда и везде. Первый “звоночек”, что халява заканчивается прозвенел этим летом в итальянской Болоньи. Тогда у меня заморозили на карте деньги до приезда, а по заселению списали еще дополнительно всю сумму за проживание. Пришлось ждать разморозки месяц. Читайте эту историю здесь.

1. Сегодня мне нужно было забронировать отель в Эдинбурге для предстоящей поездки туда. Завел даты(на скринах даты изменены), локацию и начал просматривать варианты отелей. Нашел подходящий по расположению и стоимости отель. Ну и конечно, по старой памяти обращаю внимание на зеленую сноску – бесплатная отмена бронирования. Выбираю его:

2. Прочел отзывы(обязательно читайте отзывы, в том числе и на английскм), вроде все устраивает. Смотрю номера. Отлично. Завтрак включен и можно отказаться от брони не теряя денег:

3. Выбираю номер и жму кнопку – забронировать. Все как всегда:

4. Здесь вроде как все без изменений. Внимательно читаем все, что нас интересует. В нескольких местах нам внушают, что можно будет бесплатно отменить бронирование до указанной даты. Слева даже убеждают, что сюрпризов никаких не будет. Там же слева есть незаметная ссылка – Больше о вашем бронировании, именно там, по иронии судьбы и кроется главный сюрприз:

5. Ну вот собственно и сюрприз под ссылкой. Интересно то, что нет прямого утверждения, что будет списана предоплата. “МОЖЕТ БЫТЬ” оставляет некий шанс на то, что до указанного срока, в данном случае до 4 декабря сумму не спишут. Иначе теряется логика, как же можно бесплатно отменить бронирование после того, когда спишут предоплату?! Согласитесь, логично?

6. Закрываем “сюрприз” и продолжаем бронирование. Внизу нужно выбрать номер карты привязанной к аккаунту бугинга либо ввести новую карту. Иначе следующего шага не будет. Ну собственно после нажатия на кнопку “Забронировать этот номер” произойдет бронирование:

7. Бронирование прошло! Как и положено приходит письмо с подтверждением брони и. СЮРПРИЗ. Смс-ка списания с карты предоплаты о которой сказано на фото 5. Сделал коллажик. Сверху письмо подтверждения брони, снизу смс о списании. Обратите внимание, что на все провсе у слаженной команды “booking.com + отель” ушло всего 11 минут:

Чуда не произошло. Мой счет опустел на 45 фунтов. Да, но что же с бесплатной отменой бронирования? – спросите вы. Теоретически, отменить бронирование можно и я даже подозреваю, что они вернут списанные деньги. Вопрос только в сроке возврата. Как показывает практика, это может затянутся на срок более месяца.

Суть всей этой истории проста. Отели просто перестраховываются и привязывают клиента предоплатой не оставляя ему другого выбора. Понятно, что интерес поиска другого отеля отпадает, когда у тебя уже списали предоплату. На это весь и расчет. Еще в 2014 году подобного не наблюдалось в таких масштабах.

8. Теперь правильный ответ, как должно выглядеть предложение отеля, где с вас не возьмут предоплату. Наряду с бесплатной отменой, должна быть сноска – ПЛАТИТЕ ПОЗЖЕ:

9. Однако это вас тоже не застрахует от блокировки средств. После брони вы вполне можете получит вот такое подтверждение(см. выделенно красным) и попасть еще в более неприятную историю:

Ссылка на основную публикацию