Обикновено говорим за подвеждане на потребителите при киберсигурност или за копиране (Typosquatting) на уебсайтове. Има обаче и друго измерение на тиха заплаха по отношение на корпоративните туристически фирми (хотели и агенции), която се прави директно към собствената им инфраструктура: Ransomware (изнудване) или BEC (Business Email Compromise).
Кошмарът в онзи перфектен PDF на фактура!
Една сутрин на екрана на счетоводството или резервациите (info@) на вашия хотел пристига PDF файл под името „Документ за инспекция от TÜRSAB / Плащане за тур“, който изглежда много официален или е от чуждестранно лице. Когато рецепцията на хотела или неопитният секретар кликне и отвори този файл, в цялата локална компютърна мрежа (CRM на агенцията и PMS автоматизациите) се инсталира дърво от зловреден софтуер.
На следващия ден вие продължавате да въвеждате гости без проблеми, но на заден план кибер пиратите вече са изтеглили на собствените си сървъри мобилните номера и имейлите на „всички гости, които ще се регистрират“ от вашата база данни.
Защо клиентът вярва на съобщението, идващо от пирата?
Същата вечер на мобилния телефон на госта пристига SMS с името на вашия хотел: *„Уважаеми [Име на госта], възникна системна грешка в съвпадението на плащането за вашата резервация на дата [Дата на настаняване]. Изпратете липсващия депозит от тази връзка за приемане в нашия обект. В противен случай тя ще бъде анулирана: linktr.ee/oteliniz-kiosk“*
Клиентът остава втрещен. Защото системата не е просто измамна; тя знае името му, дала е точна дата и е използвало точното име на хотела, в който отива! Мислейки, че грешката е негова, той изпраща депозита на хакерите. Проблемът се основава на измерението на законите за потребителите и глобите за нарушение на KVKK (Закон за защита на личните данни), които възникват, когато собствената кибер инфраструктура на хотела се окаже уязвима. Криптирайте всичките си B2B данни за гости, периодично проверявайте кибер разузнаването с външни двигатели като RuuSafe!
Често задавани въпроси
Как се компрометира имейлът на хотелския персонал?
Най-разпространеният метод е фишинг имейлът. Съобщенията, съдържащи фалшив PDF или връзка, подготвени така, сякаш идват от официална институция, крадат информация за сесията или инсталират зловреден софтуер на заден план, когато бъдат отворени.
Какво може да направи хотел, подложен на BEC атака, за да защити данните на клиентите?
Докладвайте за нарушението на Органа за защита на личните данни в рамките на 72 часа в обхвата на KVKK. Информирайте клиентите чрез SMS или имейл и нулирайте всички пароли в компрометираните акаунти; освен това започнете съдебномедицинска експертиза с фирма за ИТ сигурност.
Как мога да укрепя имейл инфраструктурата на нашия хотел?
Предотвратете фалшифицирането на имейли, като конфигурирате SPF, DKIM и DMARC записите. Провеждайте редовни обучения със симулация на фишинг за персонала и направете двуфакторното удостоверяване задължително за критични трансакции по резервации.
