Συνήθως μιλάμε για την εξαπάτηση των καταναλωτών ή την αντιγραφή των ιστοσελίδων (Typosquatting) σε περιστατικά κυβερνοασφάλειας. Ωστόσο, υπάρχει μια άλλη διάσταση σιωπηλής απειλής που δεν είναι ορατή και απευθύνεται απευθείας στις δικές τους υποδομές για τις εταιρικές τουριστικές επιχειρήσεις (ξενοδοχεία και πρακτορεία): Ransomware (Εκβιασμός) ή BEC (Business Email Compromise).
Ο εφιάλτης μέσα σε αυτό το τέλειο τιμολόγιο PDF!
Ένα πρωί, ένα αρχείο PDF έρχεται στην οθόνη του λογιστηρίου ή των κρατήσεων (info@) του ξενοδοχείου σας με το όνομα "Έγγραφο Επιθεώρησης Τουριστικού Φορέα / Πληρωμή Περιήγησης" που φαίνεται πολύ επίσημο ή από το εξωτερικό. Με το κλικ της ρεσεψιόν ή του άπειρου γραμματέα που κατεβάζει και ανοίγει αυτό το αρχείο, εγκαθίσταται ένα δέντρο δηλητηριώδους κακόβουλου λογισμικού σε ολόκληρο το τοπικό δίκτυο υπολογιστών (στους αυτοματισμούς CRM και PMS του πρακτορείου).
Εσείς συνεχίζετε να κάνετε εισαγωγές πελατών χωρίς προβλήματα την επόμενη μέρα, αλλά στο παρασκήνιο οι κυβερνοεγκληματίες έχουν ήδη τραβήξει στους δικούς τους διακομιστές τα τηλέφωνα και τα email όλων των "επισκεπτών που θα κάνουν check-in" από τη βάση δεδομένων σας.
Γιατί ο πελάτης πιστεύει το μήνυμα που έρχεται από τον πειρατή;
Εκείνο το βράδυ, έρχεται ένα SMS στο κινητό τηλέφωνο του επισκέπτη με το όνομα του ξενοδοχείου σας: *"Αγαπητέ [Όνομα Επισκέπτη], παρουσιάστηκε σφάλμα συστήματος στην αντιστοίχιση πληρωμής για την κράτησή σας την ημερομηνία [Ημερομηνία Διαμονής]. Στείλτε την προκαταβολή που λείπει από αυτόν τον σύνδεσμο για την είσοδο στις εγκαταστάσεις μας. Διαφορετικά θα ακυρωθεί: linktr.ee/oteliniz-kiosk"*
Ο πελάτης παγώνει. Επειδή το σύστημα δεν είναι μόνο απατεώνας. Έχει χρησιμοποιήσει το όνομά του, έχει δώσει μια συγκεκριμένη ημερομηνία και έχει χρησιμοποιήσει το ακριβές όνομα του ξενοδοχείου που επισκέπτεται! Νομίζοντας ότι το λάθος είναι δικό του, στέλνει την προκαταβολή στους hackers. Το πρόβλημα βασίζεται στη Διάσταση των Νόμων περί Καταναλωτή και στα διοικητικά πρόστιμα για παραβίαση του απορρήτου δεδομένων (GDPR/KVKK) που προκύπτουν όταν η κυβερνοϋποδομή του ίδιου του ξενοδοχείου καθίσταται ευάλωτη. Κρυπτογραφήστε όλα τα δεδομένα των B2B επισκεπτών σας, λαμβάνετε περιοδικά πληροφορίες κυβερνοασφάλειας από εξωτερικές μηχανές όπως το RuuSafe!
Συχνές Ερωτήσεις
Πώς παραβιάζεται το email του προσωπικού του ξενοδοχείου;
Η πιο κοινή μέθοδος είναι το email phishing. Μηνύματα που περιέχουν ψεύτικα PDF ή συνδέσμους προετοιμασμένα σαν να προέρχονται από επίσημο ίδρυμα, κλέβουν πληροφορίες συνεδρίας ή εγκαθιστούν κακόβουλο λογισμικό στο παρασκήνιο όταν ανοίγουν.
Τι μπορεί να κάνει ένα ξενοδοχείο που δέχεται επίθεση BEC για να προστατεύσει τα δεδομένα των πελατών του;
Αναφέρετε την παραβίαση στην αρμόδια Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εντός 72 ωρών. Ενημερώστε τους πελάτες μέσω SMS ή email και επαναφέρετε όλους τους κωδικούς πρόσβασης στους λογαριασμούς που παραβιάστηκαν. Επίσης, ξεκινήστε ιατροδικαστική έρευνα με μια εταιρεία ασφάλειας πληροφορικής.
Πώς μπορώ να ενισχύσω την υποδομή email του ξενοδοχείου μας;
Αποτρέψτε την πλαστογράφηση email διαμορφώνοντας τα αρχεία SPF, DKIM και DMARC. Παρέχετε τακτική εκπαίδευση προσομοίωσης phishing στο προσωπικό και καταστήστε υποχρεωτικό τον έλεγχο ταυτότητας δύο παραγόντων σε κρίσιμες συναλλαγές κρατήσεων.
