Únik platebních i osobních údajů bez práce. Recepční otevřela fotku od hosta a hackeři ovládli celý hotel
Stačila jedna falešná fotografie a útočníci získali trvalý přístup k počítači hotelové recepce, včetně všeho, co přes něj denně protéká.
Obsah článku
Microsoft 25. června 2026 zveřejnil analýzu aktivní hackerské kampaně, která od dubna cílí na hotely v Evropě a Asii. Scénář je prostý, a právě proto účinný: recepční dostane e-mail od zdánlivě nespokojeného hosta, který si stěžuje na problém s pokojem a přikládá „fotku“ jako důkaz. Jenže ta fotka není fotka. V ZIP archivu se skrývá soubor typu IMG-…png.lnk nebo PHOTO-…png.lnk, tedy spustitelná zkratka Windows, která se díky skryté příponě tváří jako nevinný obrázek. Jakmile ji zaměstnanec otevře, na pozadí se rozběhne řetězec příkazů, který do počítače nasadí malware zvaný TonRAT. Útočník si tak bez lámání hesel, bez nápadné přílohy a bez jediného varovného signálu v e-mailu vybuduje trvalý přístup k recepční stanici, a tím potenciálně ke všemu, co na ní hotel zpracovává: svým hostům, kontaktům a rezervačnímu a platebnímu systému.
Recepční neměla šanci poznat podvod
Klasické phishingové školení učí hledat podezřelou doménu nebo přílohu. Tady to nefunguje. Útočníci poslali zprávu přes legitimní infrastrukturní služby Calendly a rozesílací platformu SendGrid. E-mail proto bez problémů prošel všemi standardními kontrolami (SPF, DKIM i DMARC). Zobrazené jméno odesílatele znělo „Booking Manager (via Calendly)“, předmět byl obecný, naléhavý a bez jména konkrétního hotelu či hosta. Přesně takový typ zpráv recepce řeší denně desítky: stížnosti, dotazy na rezervace, urgentní provozní hlášení.
Odkaz v e-mailu vedl po přesměrování přes Google na stažení ZIP archivu. Uvnitř čekal soubor s dvojitou příponou, například PHOTO-123456.png.lnk. Kdo nemá ve Windows zapnuté zobrazování přípon, vidí jen PHOTO-123456.png. Normální fotka. Žádný alarm.
Od „fotky“ k úplnému ovládnutí stanice
Po otevření souboru LNK se spustil PowerShell, který stáhl další skript. Ten z oficiálního webu nodejs.org stáhl legitimní běhové prostředí Node.js a přes něj nasadil implantát TonRAT. Malware si okamžitě zajistil dvojí perzistenci, zapsal se do registru Windows jak do klíče HKCU\Run, tak do HKCU\RunOnce. Navíc si přidal výjimky v programu Defender, aby ho antivirová ochrana ignorovala.
Podle analýzy ITOCHU Cyber & Intelligence komunikuje TonRAT se svým řídicím serverem přes blockchainovou síť TON. Aktuální adresu řídicího serveru si vytahuje z konkrétního TON účtu přes veřejné API. Útočník může kdykoli změnit cílovou doménu pouhou úpravou hodnoty v blockchainu, aniž by bylo nutné aktualizovat samotný malware. Zablokovat jednu doménu proto nestačí.
Na jednom potvrzeně napadeném zařízení Defender sice zachytil a zablokoval jeden škodlivý soubor, ale druhá větev perzistence přes Node.js přežila. Přibližně o dva dny později se infekce obnovila. Jedno smazání nestačilo.
Co přesně bylo ohroženo, a co zatím víme
Důležité je oddělit potvrzené odhalené skutečnosti od spekulací. Microsoft potvrdil průnik na recepční stanici, technický řetězec útoku a schopnost malwaru stahovat další nástroje. Veřejně ale nepotvrdil konkrétní odcizení platebních dat ani exfiltraci osobních údajů hostů v rámci této kampaně.
Jenže recepční počítač je přesně to místo, kudy protékají jména, e-maily, telefonní čísla a detaily rezervací, a kde se pracuje s platebním terminálem nebo rezervačním systémem. Pro srovnání, letošní incidenty v hotelnictví ukazují, co bývá v ohrožení:
- Booking.com (duben 2026) přiznal únik jmen, e-mailů, telefonů a detailů rezervací.
- BWH Hotels (květen 2026) oznámil šestiměsíční přístup k rezervačním údajům, platební data ale zasažena nebyla.
Kampaň je podle Microsoftu stále aktivní. Rozlišuje dvě vlny: první běžela od dubna do května, druhá od konce května do června 2026 a přidala nové domény i mezikrok s dynamickou kompilací .NET knihovny.
Český kontext: marker „recepce“ v datech Microsoftu
Microsoft ve zprávě uvádí, že mezi zasaženými účty a stanicemi identifikoval názvy reception, frontdesk, reservations a také české slovo recepce. Konkrétní český hotel veřejně nejmenoval, ale přítomnost českého označení ukazuje, že kampaň buď přímo cílila na české prostředí, nebo zasáhla česky pojmenované účty. Kdo za útoky stojí, zatím nikdo oficiálně nepotvrdil. ITOCHU analyticky spojuje část infrastruktury se starší vlnou útoků zneužívajících značku Booking.com, ale jde o analytickou vazbu, ne o oficiální atribuci.
Co dělat jako host, a co jako hotel
Pokud jste v posledních měsících platili kartou na recepci hotelu a nevidíte podezřelé transakce, není důvod k panice. Rozumná opatření ale stojí za pár minut:
- Zapněte si oznámení o každé transakci na kartě.
- Zkontrolujte výpisy za poslední tři měsíce.
- Snižte online i offline limity na rozumné minimum.
- Při jakémkoli podezřelém požadavku na „ověření karty“ nebo „doplatek“ přes odkaz neklikejte, hotel si ověřte jiným kanálem.
- Při podezření kartu dočasně zamkněte nebo zablokujte a vyžádejte si novou.
Pro hotely jedno jednoduché nastavení, které se výrazně osvědčilo: zapnout ve Windows zobrazení přípon souborů (Průzkumník → Zobrazit → Přípony názvů souborů). Soubor PHOTO-123456.png.lnk by se pak tvářil přesně tak, jak je – jako spustitelná zkratka, ne jako fotka.
Útok nebyl dílem nepozornosti jedné zaměstnankyně. Byl navržen přesně pro rytmus práce recepce, která pod časovým tlakem otevírá desítky zpráv od hostů denně. A právě proto fungoval.