Phishing E-poçtlarının Aşkarlanması: Otel İşçiləri Üçün Bələdçi

Phishing e-poçtu, istifadəçiləri həssas məlumatlarını paylaşmağa, zərərli bir linkə klikləməyə və ya zərərli bir əlavə faylı açmağa yönəltmək məqsədilə qanuni bir göndərici kimi görünərək göndərilən aldadıcı bir elektron mesajdır. Türkiyədəki otel müəssisələrində 2024-cü ildə aparılan bir araşdırmaya görə, kiber təhlükəsizlik pozuntularının 74%-i bir işçinin phishing e-poçtuna klikləməsi ilə başlamışdır. Bu nisbət, otelçilik sektorunu phishing hücumlarının ən kritik hədəfləri arasına yerləşdirir.

Hücumçuların otel personalını üstün tutmasının səbəbləri aydındır: işçilər yüzlərlə rezervasiya və müştəri e-poçtu alır, təcili bir tələbin gəlməsi normal qarşılanır və kritik sistemlərə (PMS, ödəniş terminalları, qonaq məlumat bazası) girişləri var. Bu üç amilin bir araya gəlməsi otel personalını phishing hücumları üçün mükəmməl bir hədəf halına gətirir.

Phishing (Azərbaycanca: tilov), hücumçuların qanuni bir təşkilat və ya şəxs kimi görünərək qurbanı aldatmağa çalışdığı sosial mühəndislik hücumunun e-poçt kanalı vasitəsilə həyata keçirilən formasıdır. Otelçilik sektorunda ən çox yayılmış phishing növləri bunlardır: rezervasiya platformalarını (Booking.com, Expedia) təqlid edən saxta bildirişlər, saxta faktura və ödəniş tələbləri, OTA (Onlayn Səyahət Agentliyi) müqavilə yeniləmə bildirişləri və "qonaq şikayəti" məzmunlu saxta mesajlar.

APWG-nin 2024 Phishing Fəaliyyət Hesabatı-na görə, qlobal miqyasda bir rübdə 1 milyondan çox phishing saytı aşkar edilib; bu rəqəm üç aylıq dövrlərdə qeydə alınan rekord səviyyədir.

Ssenari 1: Saxta Booking.com Rezervasiya Bildirişi "Yeni rezervasiya təsdiqi" və ya "rezervasiya ləğvi" başlıqlı bir e-poçt, həqiqi Booking interfeysini tamamilə kopyalayır. Lakin linklər saxta bir giriş səhifəsinə yönləndirir və işçinin OTA istifadəçi məlumatlarını oğurlayır.

Ssenari 2: Saxta Faktura və IBAN Dələduzluğu "Ödəniş gecikdi" və ya "bank məlumatlarını yeniləyin" məzmunlu bir e-poçt, həqiqi təchizatçı kimi görünən bir göndərici ünvanından gəlir. Əlavədə saxta bir faktura ilə dəyişdirilmiş IBAN nömrəsi yer alır.

Ssenari 3: HR və İşçi Məlumatlarının Ovlanması İnsan resursları işçilərini hədəf alan mesajlar, "əmək haqqı yenilənməsi" və ya "bordro sistemi girişi" bəhanəsi ilə istifadəçi adı/parol toplayır.

Ssenari 4: Qonaq Şikayəti Pərdəsi Altında Gizlənən Zərərli Fayl "Keçən həftəki qonaqlamamla bağlı mənfi təcrübələrimi paylaşmaq istəyirəm" məzmunlu e-poçtda, açıldıqda fidye proqramı (ransomware) işlədən bir PDF və ya Word faylı yer alır.

1. Göndərici ünvanını deyil, domen adını yoxlayın. "Booking.com Müştəri Xidmətləri" kimi görünən bir e-poçt əslində [email protected] kimi əlaqəsiz bir domendən gələ bilər. Göndərici adına deyil, @ işarəsinin sağındakı domen adına əmin olun.

2. URL-lərin üzərinə klikləmədən gəlin. Siçanı linkin üzərinə gətirdiyinizdə brauzerin sol alt küncündə həqiqi URL görünür. Bu URL markanın rəsmi ünvanı ilə uyğun gəlmirsə, klikləməyin.

3. Təcili və hədələyici dil diqqət çəkicidir. "Hesabınız 24 saat ərzində silinəcək", "Dərhal hərəkətə keçin" kimi ifadələr təzyiq yaratmaq üçün istifadə olunur. Qanuni şirkətlər bu dili nadir hallarda istifadə edir.

4. Salamlaşma ümumidirsə, şübhələnin. "Hörmətli Üzv" və ya "Dəyərli Müştəri" yerinə adınıza xitab edən e-poçtlar daha etibarlıdır; lakin spear-phishing hücumlarında hücumçular adınızı da bilərək istifadə edə bilərlər.

5. Əlavə faylları açmadan əvvəl sorğulayın. Gözlənilməz əlavələr — xüsusilə .exe, .js, .docm, .xlsm uzantılı fayllar — böyük risk daşıyır. PDF və Word faylları da makro ehtiva edə bilər.

6. Yazı və dil səhvlərini fərq edin. Peşəkar qurumlardan gələn qanuni e-poçtlar adətən bu cür səhvləri ehtiva etmir.

7. Eyni məzmunu birbaşa platformadan yoxlayın. Booking bildirişi almısınızsa, e-poçtdakı linki klikləmək yerinə, brauzerinizə booking.com yazaraq daxil olun və oradakı bildirişlər panelini yoxlayın.

8. Göndərici domen adını WHOIS ilə sorğulayın. Şübhələndiyiniz bir domen adını whois.domaintools.com kimi bir vasitə ilə sorğulayın. Bir həftədən köhnə olmayan bir domen phishing üçün güclü bir işarədir.

9. İki faktorlu doğrulamanın mövcudluğunu test edin. Qanuni platformalar giriş edərkən 2FA kodu istəyir. Saxta giriş səhifələri bu addımı atlaya bilər və ya simulyasiya edər.

10. Şübhələndiyinizdə göndəriciyə telefonla təsdiq edin. Böyük bir ödəniş və ya hesab dəyişikliyi tələb edən bir e-poçt almısınızsa, eyni e-poçta cavab vermək yerinə, onsuz da bildiyiniz bir nömrədən zəng edərək təsdiqləyin.

Hadisə A — İstanbulda 5 Ulduzlu Bir Otel: Mühasibatlıq departamentinə "təchizatçı bank məlumatı yeniləndi" məzmunlu bir e-poçt gəldi. Göndərici adı həqiqi təchizatçı ilə eyni idi, lakin domen adında tək bir hərf fərqi vardı (ornekltemizlik.com yerinə ornektemizlik.com). İşçi səhv IBAN-a 28,000 TL köçürdü. Köçürmədən sonra təchizatçı ilə telefon danışığı zamanı səhv aşkar edildi; lakin pul geri qaytarıla bilmədi.

Hadisə B — Antalyada Bir Tətil Kəndi: Ön büro işçisinə "qonaq şikayəti" başlıqlı bir e-poçt gəldi. Əlavədə "şikayət_20240315.docm" adlı Word faylı vardı. Fayl açıldıqda fidye proqramı (ransomware) işə düşdü və PMS sistemindəki 3 aylıq rezervasiya məlumatları şifrələndi. 12 saatlıq sistem kəsilməsi və məlumat bərpası xərci müəssisəyə təxminən 85,000 TL-yə başa gəldi.

Effektiv bir otel phishing təlim proqramının 4 komponenti olmalıdır:

1. Əsas məlumatlandırma təlimi (ildə 2 dəfə, 1 saatlıq): Real hadisə təhlilləri vasitəsilə hansı işarələrin təhlükəyə işarə etdiyini öyrədin.

2. Simulyasiya testləri (3 ayda bir): Google phishing quiz kimi pulsuz vasitələr və ya KnowBe4, Proofpoint kimi korporativ platformalar istifadə edilə bilər. Klikləyən işçilər dərhal təlimə yönləndirilməli, əsla cəzalandırılmamalıdır.

3. Bildiriş mədəniyyəti yaratmaq: Şübhəli e-poçtu bildirən işçini təqdir edin. "Əmin deyiləm, amma bildirdim" davranışı yayğınlaşdırılmalıdır.

4. Departamentə xüsusi ssenarilər: Mühasibatlıq personalına faktura fırıldaqçılığı, ön büro işçilərinə qonaq şikayəti pərdəsi altında gizlənən zərərli fayllar, HR personalına bordro/əmək haqqı mövzulu hücumlar üzrə xüsusi təlim verilməlidir.

Otel personalının hesablarının sındırıldığı hadisə təhlilləri və otel veb saytı təhlükəsizlik yoxlama siyahısı məzmunlarımızda bu təhdidə qarşı alına biləcək əlavə tədbirləri tapa bilərsiniz.

Bir işçi phishing e-poçtuna kliklədiyini və ya məlumatlarını paylaşdığını fərq etdikdə izlənilməli olan təcili addımlar:

1. Cihazı şəbəkədən dərhal ayırın. Wi-Fi və kabel şəbəkə bağlantısını kəsin.
2. IT/informasiya texnologiyaları üzrə məsul şəxsə zəng edin. E-poçt deyil, telefon istifadə edin.
3. Ələ keçirilən hesabın parolunu dəyişdirin. Fərqli, təhlükəsiz bir cihazdan.
4. 2FA kodlarını sıfırlayın.
5. Rəhbərliyə bildirin. Phishing, təşkilatın tamamına təsir edə bilər.
6. Lazım gələrsə, BTK və [USOM](https://www.usom.gov.tr)-a bildiriş edin.

Saxta otel saytı nədir hərtərəfli bələdçi məzmununda rəqəmsal hücumların ümumi strukturu haqqında daha geniş məlumat tapa bilərsiniz.

Xeyr. Cəzalandırma qorxusu, işçilərin real bir hücumu bildirməsinə mane olur. Klikləyən işçini təlimə yönləndirin, nəticələri anonimləşdirərək departament əsasında hesabat verin.

Bəli. Mobil ekranlarda göndərici ünvanı tam görünmür, URL önizləməsi işləmir və kiçik hərflər arasındakı fərq hiss edilmir. Bu səbəbdən korporativ e-poçtlar mümkün olduqca masaüstü cihazda açılmalıdır.

Gmail-də "Kimlik Ovunu Bildir", Outlook-da "Kimlik Avı Olarak Bildir" seçimini istifadə edin. Həmçinin USOM-un bildiriş formunu və korporativ IT departamentinizi məlumatlandırın.

Phishing hücumları hər il daha da təkmilləşir; lakin əsas aşkarlama üsulları dəyişmir. Göndərici domen adını yoxlamaq, linklərə klikləmədən əvvəl URL-i nəzərdən keçirmək və şübhəli vəziyyəti bildirmə mədəniyyətini yaratmaq — bu üç vərdiş otel personalının phishing hücumlarına qarşı ən effektiv qalxanını təşkil edir. Geniş bir rəqəmsal qorunma üçün otel sektorunda kiber təhlükəsizlik təhdidləri bələdçimizi də nəzərdən keçirməyinizi tövsiyə edirik.