Liputan6.com, Jakarta - Modus penipuan baru yang menyasar tamu hotel ditemukan di Singapura. Setelah memesan penginapan di Amara Singapore di Booking.com, seorang tamu menerima email phishing melalui pusat pesan platform, yang ditandatangani seseorang yang mengaku sebagai staf hotel.
Dengan menyamar menyelesaikan pendaftaran, tamu tersebut diarahkan ke situs web yang meminta informasi kartu kreditnya, kemudian dikenakan biaya tambahan sebesar sembilan ribu dolar Singapura (sekitar Rp111 juta), lapor Mothership, dikutip Kamis, 21 November 2023. Ia bukan satu-satunya yang terdampak penipuan tersebut.
Advertisement
Amara Singapore mengatakan pada Mothership, dikutip Kamis, 21 September 2023, bahwa mereka telah diberitahu tentang pesan penipuan yang dikirim melalui dua platform pemesanan. Publikasi itu juga menerima informasi dari tamu lain yang menemukan email penipuan serupa dari pusat pesan Booking.com setelah memesan penginapan di Oasia Hotel Downtown.
Mengikuti tautan web di email dari "Roza," S, tamu yang memesan penginapan di Amara Singapore, menceritakan telah memesan kamar hotel untuk staycation dalam rangka merayakan ulang tahunnya yang ke-35. Ia juga telah membayar lunas sebesar tiga ribu dolar Singapura (sekitar Rp33,7 juta) untuk reservasi di muka, melalui Booking.com.
Pada 9 September 2023, S menerima email melalui pusat pesan platform pemesanan. Surat itu ditandatangani "Roza Zukauskiene," yang mengaku sebagai staf Amara Singapore. Roza mengidentifikasi dirinya sebagai manajer properti senior Amara Singapore.
Email Roza juga menginstruksikan S untuk mengklik tautan untuk "menyelesaikan registrasi," sebelum menginap di hotel. Diarahkan ke situs web yang tampak "sah," saat S mengklik link tersebut, ia diarahkan ke laman bertuliskan nama dan logo Amara Singapore.
Berikan Rincian Kartu Kredit, tapi ...
Karena itu, ia mengakui hal itu tampak "sah." Halaman tersebut mengharuskan S memberi rincian informasi pribadinya, mengisi informasi kartu kreditnya, dan mengirim uang jaminan.
S mengaku menghubungi Booking.com untuk menanyakan tentang pesan tersebut dan platform tersebut memberitahunya bahwa itu adalah pesan asli yang datang dari hotel. S memahami bahwa ia harus memberikan rincian kartu kreditnya sebagai jaminan jika ada biaya tidak terduga yang timbul selama ia menginap.
Ia mematuhi instruksi di halaman itu, dan kartu kredit dikenakan biaya tambahan sebanyak yang disebutkan di atas. Tagihan tersebut tercatat pada 9 September 2023, hari yang sama ketika ia mengakses tautan di email Roza.
Terpental antara Booking.com dan Amara Singapore, kecuriaan S muncul. Ia pun segera menghubungi Booking.com untuk melaporkan email phishing tersebut. Namun, platform tersebut mengarahkannya ke Amara Singapore dan menegaskan kembali bahwa pesan tersebut berasal dari hotel.
Ketika menghubungi Amara Singapore, S diberitahu bahwa reservasinya "aman" dan informasi pribadinya tetap "rahasia." Yang lebih membingungkan lagi, pihak hotel menyarankannya menghubungi Booking.com terkait email phishing tersebut.
Advertisement
Bukan Satu-satunya Korban Penipuan
Dari balasan Amara Singapore juga S mengetahui bahwa ia bukan satu-satunya pelanggan yang terdampak penipuan phishing. Hotel tersebut mengatakan bahwa beberapa tamunya telah menerima email mencurigakan yang mengaku berasal dari "agen perjalanan online" dan meminta rincian pembayaran.
S menduga ada pelanggaran data yang menyebabkan insiden tersebut. Ia juga sedang dalam pembicaraan dengan pihak hotel mengenai kompensasi atas tagihan tidak sah tersebut. S mengatakan bahwa ia pernah mendengar tentang penipuan phishing sebelumnya, namun ia berteori para penipu mungkin menyesuaikan taktik mereka untuk menipu calon wisatawan.
"Dulu kita mendengar penipuan di bank, atau situs web pemerintah. Kini setelah perbatasan perjalanan dibuka, para penipu jadi lebih kreatif dengan menargetkan pemesanan perjalanan," katanya.
Amara Singapore bukan satu-satunya hotel di Singapura yang terdampak penipuan phishing. Seorang pembaca memberi tahu Mothership tentang kasus serupa yang terjadi di Oasia Hotel Downtown.
Kronologinya sama: tamu hotel telah menerima pesan palsu yang dikirim melalui pusat pesan Booking.com. Berdasarkan pesan yang dilihat Mothership, hotel telah memperingatkan para tamu untuk tidak mengklik tautan mencurigakan dalam pesan yang dikirim melalui platform.
Oasia Hotel Downtown memberi tahu para tamunya bahwa kotak obrolan Booking.com telah "disusupi." Pihaknya juga bekerja sama dengan tim Booking.com untuk menyelesaikan masalah ini. Baik Amara Singapore dan Booking.com membantah bahwa sistem mereka telah disusupi.
Kasus Dipolisikan
Seorang juru bicara dari Amara Singapore mengatakan bahwa mereka menerima laporan dari masyarakat tentang tautan mencurigakan yang dikirim melalui pusat pesan di dua platform pemesanan online. Namun tidak disebutkan secara spesifik platform mana yang terdampak.
"Setelah diperingatkan, kami segera memberi tahu platform pemesanan tentang email palsu yang dikirim dan telah mengonfirmasi bahwa sistem kami tidak disusupi," tambah juru bicara tersebut.
Juru bicara lebih lanjut mencatat bahwa semua tamu dengan pemesanan yang dilakukan melalui dua platform pemesanan diperingatkan tentang kasus email phishing dan disarankan untuk tidak mengklik tautan apa pun yang mencurigakan.
Sementara itu, juru bicara Booking.com juga mengatakan pada Mothership bahwa pelanggaran keamanan tidak terjadi di platform tersebut. Juru bicaranya menyebut, akun beberapa mitra akomodasinya terpengaruh, namun menekankan bahwa "tidak ada kerentanan dalam sistem Booking.com yang memungkinkan pihak ketiga yang curang mendapatkan informasi."
Juru bicaranya menambahkan bahwa platform tersebut memiliki tim yang secara berkala meninjau langkah-langkah keamanannya untuk melindungi akun pelanggan dan mitra akomodasi. Jadi apa sebenarnya yang terjadi?
Mothership memahami bahwa peretas dapat memesan reservasi hotel palsu di Booking.com, menggunakan reservasi tersebut untuk berkomunikasi dengan hotel, dan dari sana, menyamar sebagai hotel dan menghubungi tamu. Baik S maupun Amara Singapore telah membuat laporan polisi terkait masalah ini.
Advertisement