ایمیل فیشینگ یک پیام الکترونیکی فریبنده است که با ظاهر شدن به عنوان یک فرستنده قانونی ارسال میشود تا کاربران را به اشتراکگذاری اطلاعات حساس، کلیک روی یک لینک مخرب یا باز کردن یک پیوست مضر هدایت کند. طبق مطالعهای که در سال ۲۰۲۴ در کسبوکارهای هتل در ترکیه انجام شد، ۷۴٪ از نقضهای امنیت سایبری با کلیک یک کارمند روی یک ایمیل فیشینگ شروع شده است. این نرخ، بخش مهماننوازی را در میان بحرانیترین اهداف حملات فیشینگ قرار میدهد.
دلایل ترجیح مهاجمان برای هدف قرار دادن پرسنل هتل واضح است: کارکنان صدها ایمیل رزرواسیون و مشتری دریافت میکنند، یک درخواست فوری در اینجا عادی تلقی میشود و آنها به سیستمهای حیاتی (PMS، پایانههای پرداخت، پایگاه داده مهمانان) دسترسی دارند. ترکیب این سه عامل، پرسنل هتل را به یک هدف عالی برای حملات فیشینگ تبدیل میکند.
ایمیل فیشینگ چیست؟
فیشینگ شکلی از حمله مهندسی اجتماعی است که در آن مهاجمان سعی میکنند با ظاهر شدن به عنوان یک سازمان یا شخص قانونی، قربانی را از طریق کانال ایمیل فریب دهند. رایجترین انواع فیشینگ در بخش مهماننوازی عبارتند از: اعلانهای جعلی که از پلتفرمهای رزرو (Booking.com, Expedia) تقلید میکنند، درخواستهای فاکتور و پرداخت جعلی، اعلانهای تمدید قرارداد OTA و پیامهای جعلی با محتوای "شکایت مهمان".
طبق گزارش روندهای فعالیت فیشینگ ۲۰۲۴ متعلق به APWG، بیش از ۱ میلیون سایت فیشینگ در یک فصل در سطح جهانی شناسایی شده است؛ این رقم رکورد ثبت شده در دورههای سهماهه است.
رایجترین سناریوهای فیشینگ در بخش هتل
سناریوی ۱: اعلان رزرو جعلی Booking.com ایمیلی با عنوان "New booking confirmation" یا "booking cancellation" رابط کاربری واقعی Booking را کاملاً کپی میکند. با این حال، لینکها به یک صفحه لاگین جعلی هدایت میشوند و اطلاعات کاربری OTA کارمند را سرقت میکنند.
سناریوی ۲: فاکتور جعلی و کلاهبرداری IBAN ایمیلی با محتوای "Payment overdue" یا "update bank details" از آدرس فرستندهای میآید که شبیه یک تامینکننده واقعی است. پیوست حاوی یک فاکتور جعلی با شماره IBAN تغییر یافته است.
سناریوی ۳: شکار دادههای کارمندان و HR پیامهایی که کارکنان منابع انسانی را هدف قرار میدهند، نامهای کاربری/رمزهای عبور را به بهانه "بهروزرسانی حقوق" یا "ورود به سیستم فیش حقوقی" جمعآوری میکنند.
سناریوی ۴: پیوست مخرب در پوشش شکایت مهمان در ایمیلی با محتوای "میخواهم تجربیات منفی خود را در مورد اقامت هفته گذشته به اشتراک بگذارم"، یک فایل PDF یا Word وجود دارد که هنگام باز شدن باجافزار را اجرا میکند.

۱۰ راه برای تشخیص یک ایمیل جعلی
۱. دامنه را چک کنید، نه نام فرستنده را. ایمیلی که به عنوان "سرویس مشتری Booking.com" ظاهر میشود ممکن است در واقع از یک دامنه بیربط مانند [email protected] آمده باشد. از نام دامنه سمت راست علامت @ مطمئن شوید.
۲. بدون کلیک کردن، روی URLها نگه دارید. وقتی ماوس را روی لینک میبرید، URL واقعی در گوشه پایین سمت چپ مرورگر ظاهر میشود. اگر این URL با آدرس رسمی برند مطابقت ندارد، کلیک نکنید.
۳. متوجه زبان حاوی فوریت و تهدید باشید. عباراتی مانند "حساب شما ظرف ۲۴ ساعت حذف خواهد شد" یا "همین حالا اقدام کنید" برای ایجاد فشار استفاده میشوند. شرکتهای معتبر به ندرت از این زبان استفاده میکنند.
۴. اگر خطاب عمومی است مشکوک شوید. ایمیلهایی که به جای "عضو گرامی" یا "مشتری گرامی" نام شما را خطاب قرار میدهند قابل اعتمادترند؛ با این حال، در حملات نیزهای (spear-phishing)، مهاجمان ممکن است نام شما را نیز بدانند.
۵. پیوستها را قبل از باز کردن زیر سوال ببرید. پیوستهای غیرمنتظره - بهویژه فایلهایی با پسوندهای .exe, .js, .docm, .xlsm - ریسک بزرگی دارند. فایلهای PDF و Word نیز میتوانند حاوی ماکروهای مخرب باشند.
۶. متوجه اشتباهات املایی و گرامری باشید. اشتباهات در کاراکترهای خاص یا جملهبندیهای ناشیانه نشانهای از ترجمه ماشینی توسط کلاهبرداران است. ایمیلهای رسمی از نهادهای حرفهای معمولاً حاوی این خطاها نیستند.
۷. همان محتوا را مستقیماً از پلتفرم چک کنید. اگر اعلان Booking دریافت کردید، به جای کلیک بر روی لینک ایمیل، با تایپ کردن booking.com در مرورگر خود وارد شوید و پنل اعلانها را در آنجا چک کنید.
۸. دامنه فرستنده را با WHOIS استعلام کنید. یک نام دامنه مشکوک را با ابزاری مانند whois.domaintools.com استعلام کنید. دامنهای که عمر آن کمتر از یک هفته است، نشانه قوی برای فیشینگ است.
۹. وجود احراز هویت دو مرحلهای را تست کنید. پلتفرمهای قانونی هنگام ورود کد 2FA میخواهند. صفحات لاگین جعلی ممکن است این مرحله را نادیده بگیرند یا آن را شبیهسازی کنند.
۱۰. در صورت شک، با فرستنده تماس تلفنی بگیرید. اگر ایمیلی حاوی درخواست پرداخت بزرگ یا تغییر حساب دریافت کردید، به جای پاسخ به همان ایمیل، با تماس با شمارهای که از قبل میشناسید، آن را تایید کنید.

تحلیل پروندههای واقعی
پرونده الف — هتلی ۵ ستاره در استانبول: ایمیلی با محتوای "اطلاعات بانکی تامینکننده بهروز شد" به بخش حسابداری رسید. نام فرستنده مشابه تامینکننده واقعی بود، اما نام دامنه حاوی یک حرف تفاوت بود (مثلاً examplelcleaning.com به جای examplecleaning.com). کارمند ۲۸,۰۰۰ لیر را به IBAN اشتباه واریز کرد. خطا پس از تماس تلفنی با تامینکننده متوجه شد، اما پول قابل بازگشت نبود.
پرونده ب — یک دهکده تعطیلاتی در آنتالیا: یک کارمند پذیرش ایمیلی با عنوان "شکایت مهمان" دریافت کرد. یک فایل Word به نام "complaint_20240315.docm" در پیوست بود. وقتی فایل باز شد، باجافزار اجرا شد و دادههای رزرواسیون ۳ ماهه در سیستم PMS رمزگذاری شد. قطعی ۱۲ ساعته سیستم و بازیابی دادهها حدود ۸۵,۰۰۰ لیر هزینه داشت.
توصیههای برنامه آموزشی کارکنان
یک برنامه آموزشی موثر فیشینگ هتل باید ۴ جزء داشته باشد:
۱. آموزش آگاهی اساسی (دو بار در سال): آموزش اینکه کدام نشانهها به خطر اشاره دارند از طریق تحلیل پروندههای واقعی.
۲. تستهای شبیهسازی (هر ۳ ماه): از ابزارهای رایگان مانند کوییز فیشینگ گوگل یا پلتفرمهای شرکتی میتوان استفاده کرد. کارکنانی که کلیک میکنند باید فوراً به آموزش هدایت شوند، هرگز تنبیه نشوند.
۳. ایجاد فرهنگ گزارشدهی: از کارمندی که ایمیل مشکوک را گزارش میدهد قدردانی کنید. رفتار "مطمئن نیستم اما گزارش دادم" باید گسترش یابد.
۴. سناریوهای مخصوص بخشها: آموزش باید بهطور خاص برای کلاهبرداری فاکتور برای پرسنل حسابداری، پیوستهای مخرب برای کارکنان پذیرش و حملات با موضوع حقوق برای پرسنل منابع انسانی ارائه شود.
میتوانید اقدامات اضافی را در محتواهای هک شدن حسابهای پرسنل هتل و چکلیست امنیت وبسایت هتل ما بیابید.
وقتی در معرض حمله فیشینگ قرار گرفتید چه کار کنید
مراحل فوری که وقتی یک کارمند متوجه میشود روی ایمیل فیشینگ کلیک کرده یا اطلاعات خود را به اشتراک گذاشته، باید دنبال کند:
۱. فوراً دستگاه را از شبکه قطع کنید. اتصال Wi-Fi و کابل شبکه را قطع کنید. ۲. با مدیر IT/انفورماتیک تماس بگیرید. از تلفن استفاده کنید، نه ایمیل. ۳. رمز عبور حساب هک شده را تغییر دهید. از یک دستگاه متفاوت و امن. ۴. کدهای 2FA را بازنشانی کنید. ۵. مدیریت را مطلع کنید. فیشینگ میتواند کل سازمان را تحت تاثیر قرار دهد. ۶. در صورت لزوم به BTK و [USOM](https://www.usom.gov.tr) گزارش دهید.
در راهنمای جامع ما درباره اینکه سایت جعلی هتل چیست، میتوانید اطلاعات گستردهتری درباره ساختار کلی حملات دیجیتال بیابید.
سوالات متداول
آیا باید کارکنانی که در تستهای فیشینگ شکست میخورند را تنبیه کنم؟
خیر. ترس از تنبیه مانع از گزارش یک حمله واقعی توسط کارکنان میشود. کارمندی که کلیک میکند را به آموزش هدایت کنید و نتایج را بهصورت ناشناس در سطح بخش گزارش دهید.
آیا تشخیص فیشینگ در دستگاههای موبایل سختتر است؟
بله. در صفحههای موبایل، آدرس فرستنده بهطور کامل قابل مشاهده نیست، پیشنمایش URL کار نمیکند و تفاوت بین حروف کوچک متوجه نمیشود. بنابراین، ایمیلهای شرکتی در صورت امکان باید در سیستمهای دسکتاپ باز شوند.
چگونه باید یک ایمیل فیشینگ را گزارش دهم؟
از گزینه "Report Phishing" در Gmail و "Report as Phishing" در Outlook استفاده کنید. همچنین به فرم گزارش USOM و دپارتمان IT شرکتی خود اطلاع دهید.
نتیجهگیری
حملات فیشینگ هر سال پیشرفتهتر میشوند؛ با این حال، روشهای اساسی تشخیص تغییر نمیکنند. چک کردن دامنه فرستنده، بررسی URL قبل از کلیک و ایجاد فرهنگ گزارشدهی - این سه عادت موثرترین سپر پرسنل هتل در برابر حملات فیشینگ هستند. برای محافظت دیجیتال جامع، توصیه میکنیم راهنمای تهدیدات امنیت سایبری در بخش هتل ما را نیز مطالعه کنید.



