Откриване на фишинг имейли: Ръководство за служители в хотели

Фишинг имейлът е измамно електронно съобщение, изпратено така, сякаш е от легитимен подател, с цел да подведе потребителите да споделят чувствителна информация, да кликнат върху злонамерена връзка или да отворят вреден прикачен файл. Според проучване, проведено в хотелски предприятия в Турция през 2024 г., 74 процента от нарушенията на киберсигурността са започнали с кликване на служител върху фишинг имейл. Този процент превръща хотелиерския сектор в една от най-критичните цели за фишинг атаки.

Причините, поради които нападателите предпочитат хотелския персонал, са ясни: служителите получават стотици имейли за резервации и клиенти, спешно искане се счита за нормално и те имат достъп до критични системи (PMS, платежни терминали, база данни с гости). Комбинацията от тези три фактора прави хотелския персонал перфектна мишена за фишинг атаки.

Фишингът (на турски: oltalama) е форма на атака чрез социално инженерство, извършвана чрез имейл канала, при която нападателите се опитват да измамят жертвата, като изглеждат като легитимна организация или лице. Най-често срещаните видове фишинг в хотелиерския сектор са: фалшиви известия, имитиращи платформи за резервации (Booking.com, Expedia), фалшиви фактури и искания за плащане, известия за подновяване на договори с OTA (онлайн туристически агенции) и фалшиви съобщения със съдържание „оплакване от гост“.

Според Доклада за фишинг активност за 2024 г. на APWG, в световен мащаб за едно тримесечие са открити над 1 милион фишинг сайта; тази цифра е рекордно ниво, регистрирано в тримесечни периоди.

Сценарий 1: Фалшиво известие за резервация от Booking.com Имейл със заглавие „Потвърждение на нова резервация“ или „Анулиране на резервация“ копира точно интерфейса на истинския Booking. Въпреки това, връзките водят до фалшива страница за вход и крадат идентификационните данни за OTA на служителя.

Сценарий 2: Фалшива фактура и измама с IBAN Имейл със съдържание „Плащането се забави“ или „Актуализирайте банковата информация“ идва от адрес на подател, който изглежда като истински доставчик. В прикачения файл има фалшива фактура с променен IBAN номер.

Сценарий 3: Лов на данни за ЧР и служители Съобщенията, насочени към служителите в отдел „Човешки ресурси“, събират потребителско име/парола под предлог „актуализация на заплатата“ или „вход в системата за заплати“.

Сценарий 4: Зловреден прикачен файл, маскиран като оплакване от гост Имейл със съдържание „Бих искал да споделя негативните си преживявания от престоя ми миналата седмица“ съдържа PDF или Word файл, който при отваряне стартира рансъмуер.

1. Проверявайте името на домейна, а не адреса на подателя. Имейл, който изглежда като „Обслужване на клиенти на Booking.com“, всъщност може да идва от несвързан домейн като [email protected]. Уверете се в името на домейна вдясно от знака @, а не от името на подателя.

2. Преминете върху URL адресите, без да кликвате. Когато поставите мишката върху връзката, в долния ляв ъгъл на браузъра се появява истинският URL адрес. Не кликвайте, ако този URL адрес не съвпада с официалния адрес на марката.

3. Спешността и заплашителният език са забележителни. Изрази като „Вашият акаунт ще бъде изтрит след 24 часа“, „Действайте веднага“ се използват за създаване на натиск. Легитимните компании рядко използват този език.

4. Бъдете подозрителни, ако поздравът е общ. Имейли, адресирани до вашето име вместо „Уважаеми члену“ или „Уважаеми клиенте“, са по-надеждни; но при атаки с насочен фишинг (spear-phishing) нападателите могат да използват името ви целенасочено.

5. Поставете под въпрос прикачените файлове, преди да ги отворите. Неочаквани прикачени файлове — особено файлове с разширения .exe, .js, .docm, .xlsm — носят голям риск. PDF и Word файловете също могат да съдържат макроси.

6. Забелязвайте правописни и езикови грешки. Честа грешка на турски: липса на турски знаци (s вместо ş, g вместо ğ). Легитимните имейли от професионални институции обикновено не съдържат такива грешки.

7. Проверявайте същото съдържание директно от платформата. Ако сте получили известие от Booking, влезте, като напишете booking.com в браузъра си, вместо да кликвате върху връзката в имейла, и проверете панела за известия там.

8. Проверете името на домейна на подателя с WHOIS. Проверете подозрително име на домейн с инструмент като whois.domaintools.com. Домейн, който не е по-стар от една седмица, е силен признак за фишинг.

9. Тествайте наличието на двуфакторна автентикация. Легитимните платформи изискват 2FA код при влизане. Фалшивите страници за вход могат да прескочат или симулират тази стъпка.

10. При съмнение направете потвърждение по телефона с подателя. Ако сте получили имейл с искане за голямо плащане или промяна на акаунта, вместо да отговаряте на същия имейл, потвърдете го, като се обадите на номер, който вече знаете.

Случай А — 5-звезден хотел в Истанбул: Счетоводният отдел получи имейл със съдържание „банковата информация на доставчика е актуализирана“. Името на подателя беше същото като на истинския доставчик, но името на домейна съдържаше разлика от една буква (ornekltemizlik.com вместо ornektemizlik.com). Служителят преведе 28 000 TL на грешния IBAN. Грешката беше забелязана след телефонен разговор с доставчика след превода; но парите не можаха да бъдат върнати.

Случай Б — Ваканционно селище в Анталия: Служител на рецепцията получи имейл със заглавие „оплакване от гост“. В приложението имаше Word файл на име „sikayet_20240315.docm“. Когато файлът беше отворен, стартира рансъмуер и данните за резервациите за 3 месеца в системата PMS бяха криптирани. 12-часово прекъсване на системата и разходите за възстановяване на данни струваха на бизнеса около 85 000 TL.

Ефективната програма за обучение за фишинг в хотелите трябва да има 4 компонента:

1. Обучение за основни познания (2 пъти годишно, по 1 час): Научете какви знаци показват опасност чрез анализи на реални случаи.

2. Симулационни тестове (на всеки 3 месеца): Могат да се използват безплатни инструменти като Google phishing quiz или корпоративни платформи като KnowBe4, Proofpoint. Служителите, които кликнат, трябва веднага да бъдат насочени към обучение, никога да не бъдат наказвани.

3. Създаване на култура на уведомяване: Похвалете служителя, който докладва подозрителен имейл. Поведението „не съм сигурен, но докладвах“ трябва да се разпространи.

4. Специфични за отдела сценарии: Трябва да се проведе обучение специално за счетоводния персонал относно измами с фактури, за служителите на рецепцията относно зловредни прикачени файлове под формата на оплаквания от гости, а за персонала в отдел ЧР относно атаки на тема ведомост/заплата.

В нашето съдържание анализи на случаи, в които акаунтите на хотелския персонал са били хакнати и контролен списък за сигурност на хотелския уебсайт, можете да намерите допълнителни мерки, които могат да бъдат предприети срещу тази заплаха.

Спешни стъпки, които трябва да се следват, когато служител забележи, че е кликнал върху фишинг имейл или е споделил информацията си:

1. Незабавно изключете устройството от мрежата. Прекъснете Wi-Fi и кабелната мрежова връзка.
2. Обадете се на отговорника за ИТ/информационни технологии. Използвайте телефон, а не имейл.
3. Променете паролата на компрометирания акаунт. От различно, сигурно устройство.
4. Нулирайте 2FA кодовете.
5. Уведомете мениджъра. Фишингът може да засегне цялата организация.
6. Ако е необходимо, уведомете BTK и [USOM](https://www.usom.gov.tr).

Можете да намерите по-широка информация за общата структура на дигиталните атаки в съдържанието изчерпателно ръководство за това какво е фалшив хотелски сайт.

Не. Страхът от наказание пречи на служителите да докладват за реална атака. Насочете служителя, който е кликнал, към обучение, докладвайте на база отдели чрез анонимизиране на резултатите.

Да. На мобилните екрани адресът на подателя не се вижда напълно, предгледът на URL адреса не работи и разликата между малките букви не се забелязва. Поради тази причина корпоративните имейли трябва да се отварят на настолни устройства, ако е възможно.

Използвайте опцията „Докладване на фишинг“ в Gmail или „Докладване като фишинг“ в Outlook. Също така информирайте формуляра за сигнали на USOM и вашия корпоративен ИТ отдел.

Фишинг атаките стават все по-сложни всяка година; но основните методи за откриване не се променят. Проверката на домейна на подателя, проверката на URL адреса преди кликване върху връзките и създаването на култура за докладване на подозрителни ситуации — тези три навика формират най-ефективния щит на хотелския персонал срещу фишинг атаки. За цялостна дигитална защита ви препоръчваме да прегледате и нашето ръководство за киберзаплахи в хотелския сектор.