Genellikle siber güvenlik olaylarında tüketicinin kandırılmasından veya web sitelerinin kopya (Typosquatting) edilmesinden bahsettik. Lakin kurumsal turizm firmaları (Oteller ve acenteler) açısından görünmeyen ve doğrudan kendi altyapılarına yapılan sessiz bir tehdit boyutu daha vardır: Ransomware (Fidyecilik) veya BEC (Business Email Compromise).
O Mükemmel Fatura PDF'nin İçindeki Kabus!
Bir sabah otelinizin muhasebe veya rezervasyon (info@) ekranına yabancı uyruklu veya çok resmi görünen bir "TÜRSAB Denetleme Evrakı / Tur Ödemesi" adı altında bir PDF dosyası gelir. Otelin ön bürosu veya tecrübesiz sekreteri bu dosyayı indirip açtığı tıklamada, tüm yerel bilgisayar ağına (Acente CRM ve PMS otomasyonlarına) zehirli bir zararlı yazılım ağacı kurulur.
Siz ertesi gün sorunsuzca müşteri girişleri yapmaya devam edersiniz lakin o arka tarafta siber korsanlar veritabanınızdan "Check-in yapacak tüm misafirlerin" cep telefonu noları ile maillerini kendi sunucularına çoktan çekmiştir.
Müşteri, Korsandan Gelen Mesaja Neden İnanır?
Misafirin cep telefonuna o akşam, otelinizin adıyla bir SMS gelir: *"Sayın [Misafir Adı], [Konaklama Tarihi] tarihindeki rezervasyonunuzdaki ödeme eşleşmesinde sistem hatası oluşmuştur. Tesisimize alım için şu linkten eksik kaporayı gönderin. Aksi halde iptal edilecektir: linktr.ee/oteliniz-kiosk"*
Müşteri donup kalır. Çünkü sistem sadece dolandırıcı değildir; adını sarmış, kesin bir tarih vermiş ve tam gittiği otel adını kullanmıştır! Hata bende sanarak kaporasını hackerlara ateşler. Sorun otelin kendi siber altyapısının zafiyete düştüğünde ortaya çıkardığı Tüketici Kanunları Boyutuna ve KVKK ihlal para cezalarına dayanır. Tüm B2B konuk verilerinizi şifreleyin, siber istihbaratı RuuSafe gibi dış motorlarla periyodik çekin!
Sık Sorulan Sorular
Otel personelinin e-postası nasıl ele geçirilir?
En yaygın yöntem oltalama (phishing) e-postasıdır. Resmi kurumdan geliyormuş gibi hazırlanan sahte PDF veya bağlantı içeren mesajlar, açıldığında oturum bilgilerini çalar ya da arka planda zararlı yazılım yükler.
BEC saldırısına uğrayan otel müşteri verilerini korumak için ne yapabilir?
KVKK kapsamında ihlali Kişisel Verileri Koruma Kurumuna 72 saat içinde bildirin. Müşterileri SMS veya e-postayla bilgilendirin ve ihlal edilen hesaplardaki tüm şifreleri sıfırlayın; ayrıca BT güvenlik firmasıyla adli inceleme başlatın.
Otelimizin e-posta altyapısını nasıl güçlendirebilirim?
SPF, DKIM ve DMARC kayıtlarını yapılandırarak e-posta sahteciliğini engelleyin. Personele düzenli oltalama simülasyonu eğitimi verin ve kritik rezervasyon işlemlerinde iki faktörlü kimlik doğrulama zorunlu hale getirin.
