Bildrechte
Getty Images
Die Gäste des Luxushotels Ritz in London wurden von "äußerst überzeugenden" Betrügern angegriffen, die sich als Hotelmitarbeiter ausgaben, um Zahlungskartendaten zu stehlen.
Die Betrüger riefen die Leute mit genauen Details ihrer Restaurantbuchungen an und baten sie, die Kartendetails zu "bestätigen".
Sie versuchten dann, Tausende von Pfund beim Kataloghändler Argos auszugeben.
Das Ritz teilte der BBC mit, dass es einen "potenziellen Datenverstoß" untersuche und das Information Commissioner's Office (ICO) alarmiert habe.
Das ICO teilte der BBC jedoch mit, dass es noch keinen Bericht vom Ritz erhalten habe.
Wie hat der Betrug funktioniert?
Die Betrüger riefen Leute an, die bereits eine Restaurantreservierung im Ritz vorgenommen hatten, und gaben vor, Hotelmitarbeiter zu sein.
Eine Frau, die im Rahmen einer Feier eine Online-Buchung für den Nachmittagstee im Ritz vorgenommen hatte, erhielt am Tag vor ihrer Reservierung einen Anruf.
Die Betrüger baten sie, die Buchung durch Angabe ihrer Zahlungskartendaten zu "bestätigen".
Der Anruf war überzeugend, da er anscheinend von der tatsächlichen Telefonnummer des Hotels stammte und die Betrüger genau wussten, wann und wo ihre Reservierung war.
Ein Cyber-Sicherheitsexperte sagte der BBC, dass das Spoofing von Anrufer-IDs auf diese Weise "recht einfach" sei.
Die Betrüger teilten der Frau mit, dass ihre Zahlungskarte "abgelehnt" worden sei, und baten sie um eine zweite Bankkarte.
Nachdem sie die Zahlungskartendaten erfasst hatten, versuchten die Betrüger, beim Kataloghändler Argos mehrere Transaktionen über 1.000 GBP durchzuführen.
Als ihre Bank die verdächtigen Transaktionen entdeckte, rief der Betrüger erneut an – diesmal gab er vor, von ihrer Bank zu stammen.
Er sagte dem Opfer, dass jemand versucht habe, ihre Kreditkarte zu benutzen, und um die Transaktion abzubrechen, sollte sie einen Sicherheitscode vorlesen, der an ihr Mobiltelefon gesendet wurde.
In Wirklichkeit hätte dies die Transaktion autorisiert.
Eine zweite Frau, die ihre ursprüngliche Buchung nicht telefonisch, sondern telefonisch vorgenommen hatte, teilte der BBC mit, dass genau dieselben Tricks an ihr versucht worden seien.
Sie hatte später den Verdacht, dass der Betrüger Fragen zu den Einrichtungen des Hotels nicht richtig beantworten konnte.
"Die Leute vertrauen in der Regel der Anrufer-ID, was durchaus verständlich ist, da sie theoretisch den Anrufer zu authentifizieren scheint", sagte Dr. Jessica Barker, Mitbegründerin des Cyber-Sicherheitsunternehmens Cygenta.
"Wenn ein Betrug wie dieser Insiderinformationen enthält, verleiht er darüber hinaus einen Hauch von Legitimität und Autorität."
Was hat das Ritz gesagt?
Das Ritz teilte mit, es sei am 12. August auf einen möglichen Datenverstoß innerhalb seines "Reservierungssystems für Lebensmittel und Getränke" aufmerksam gemacht worden.
Es wird weiterhin untersucht, wie die Betrüger auf Kundeninformationen zugegriffen haben.
Es hieß, es habe Kunden, die möglicherweise betroffen waren, per E-Mail benachrichtigt: "Nachdem eine Reservierung im Ritz London vorgenommen wurde, wird unser Team Sie niemals telefonisch kontaktieren, um Kreditkartendaten anzufordern, um Ihre Buchung bei uns zu bestätigen."
Es hat nicht gezeigt, wie viele Menschen betroffen waren.
Wie kann ich mich vor solchen Betrügereien schützen?
Restaurants sollten Sie niemals anrufen und nach Zahlungsinformationen fragen, um Ihre Buchung zu "bestätigen". Wenn Sie einen verdächtigen Anruf erhalten, können Sie auflegen und den Veranstaltungsort unter der Telefonnummer auf der offiziellen Website zurückrufen.
Dr. Barker warnt davor, jemandem, der Sie angerufen hat, Kartendetails zu geben, und schlägt vor, das Unternehmen immer selbst zurückzurufen.
Wenn eine Bank glaubt, dass eine Transaktion betrügerisch war, werden Sie nicht nach Sicherheitscodes gefragt, um die Transaktion abzubrechen.
Wenn Sie einen verdächtigen Anruf erhalten, von dem Sie glauben, dass er von Ihrer Bank stammt, legen Sie auf und rufen Sie Ihre Bank unter der Nummer auf der Rückseite Ihrer Zahlungskarte an.
Haben Sie weitere Informationen zu dieser oder einer anderen Technologiegeschichte? Sie erreichen Chris direkt über Email, auf Twitter oder über verschlüsselte Messaging-App Signal an: +44 7861 520418