Phishing E-posta Tespiti: Otel Çalışanları Rehberi

Phishing e-posta, kullanıcıları hassas bilgilerini paylaşmaya, kötü amaçlı bir bağlantıya tıklamaya ya da zararlı bir ek dosyayı açmaya yönlendirmek amacıyla meşru bir gönderici gibi görünerek gönderilen aldatıcı bir elektronik mesajdır. Türkiye'deki otel işletmelerinde 2024 yılında gerçekleştirilen bir araştırmaya göre siber güvenlik ihlallerinin yüzde 74'ü bir çalışanın phishing e-postasına tıklamasıyla başlamıştır. Bu oran, otelcilik sektörünü phishing saldırılarının en kritik hedefleri arasına taşımaktadır.

Saldırganların otel personelini tercih etmesinin nedenleri açık: çalışanlar yüzlerce rezervasyon ve müşteri e-postası alıyor, acil bir talebin gelmesi normal karşılanıyor ve kritik sistemlere (PMS, ödeme terminalleri, misafir veritabanı) erişimleri bulunuyor. Bu üç faktörün bir araya gelmesi otel personelini phishing saldırıları için mükemmel bir hedef haline getiriyor.

Phishing (Türkçe: oltalama), saldırganların meşru bir kuruluş veya kişi gibi görünerek kurbanı kandırmaya çalıştığı sosyal mühendislik saldırısının e-posta kanalı üzerinden gerçekleştirilen biçimidir. Otelcilik sektöründe en yaygın phishing türleri şunlardır: rezervasyon platformlarını (Booking.com, Expedia) taklit eden sahte bildirimler, sahte fatura ve ödeme talepleri, OTA (Online Seyahat Acentesi) sözleşme yenileme bildirimleri ve "misafir şikayeti" içerikli sahte mesajlar.

APWG'nin 2024 Phishing Etkinlik Raporu'na göre küresel ölçekte bir çeyrekte 1 milyonu aşan phishing sitesi tespit edildi; bu rakam üçer aylık dönemlerde kaydedilen rekor seviyedir.

Senaryo 1: Sahte Booking.com Rezervasyon Bildirimi "Yeni rezervasyon onayı" ya da "rezervasyon iptali" başlıklı bir e-posta, gerçek Booking arayüzünü birebir kopyalar. Ancak bağlantılar sahte bir giriş sayfasına yönlendirir ve çalışanın OTA kimlik bilgilerini çalar.

Senaryo 2: Sahte Fatura ve IBAN Dolandırıcılığı "Ödeme gecikti" ya da "banka bilgilerini güncelle" içerikli bir e-posta, gerçek tedarikçi gibi görünen bir gönderici adresinden gelir. Ekte sahte bir fatura ile değiştirilmiş IBAN numarası yer alır.

Senaryo 3: İK ve Çalışan Verisi Avı İnsan kaynakları çalışanlarını hedef alan mesajlar, "maaş güncelleme" ya da "bordro sistemi girişi" bahanesiyle kullanıcı adı/parola toplar.

Senaryo 4: Misafir Şikayeti Kılığına Giren Zararlı Ek "Geçen hafta konaklamama ait olumsuz deneyimlerimi paylaşmak istiyorum" içerikli e-postada, açıldığında fidye yazılımı çalıştıran bir PDF veya Word dosyası yer alır.

1. Gönderici adresini değil, alan adını kontrol edin. "Booking.com Müşteri Hizmetleri" görünen bir e-posta aslında [email protected] gibi alakasız bir domain'den gelebilir. Gönderici adından değil @işaretinin sağındaki alan adından emin olun.

2. URL'lerin üzerine tıklamadan gelin. Fareyi bağlantının üzerine getirdiğinizde tarayıcının sol alt köşesinde gerçek URL belirir. Bu URL, markanın resmi adresiyle eşleşmiyorsa tıklamayın.

3. Aciliyet ve tehdit içeren dil dikkat çekici. "Hesabınız 24 saat içinde silinecek", "Hemen işlem yapın" gibi ifadeler baskı yaratmak için kullanılır. Meşru şirketler bu dili nadiren kullanır.

4. Selamlama genelse şüphelenin. "Sayın Üyemiz" ya da "Değerli Müşterimiz" yerine adınıza hitap eden e-postalar daha güvenilirdir; ancak spear-phishing saldırılarında saldırganlar adınızı da bilerek kullanabilir.

5. Ekli dosyaları açmadan önce sorgulayın. Beklenmedik eklentiler — özellikle .exe, .js, .docm, .xlsm uzantılı dosyalar — büyük risk taşır. PDF ve Word dosyaları da makro içerebilir.

6. Yazım ve dil yanlışlarını fark edin. Türkçede yaygın hata: Türkçe karakterlerin eksik olması (ş yerine s, ğ yerine g). Profesyonel kurumlardan gelen meşru e-postalar genellikle bu hataları içermez.

7. Aynı içeriği doğrudan platformdan kontrol edin. Booking bildirimi aldıysanız e-postadaki bağlantıyı tıklamak yerine tarayıcınıza booking.com yazarak giriş yapın ve oradaki bildirimler panelini kontrol edin.

8. Gönderici alan adını WHOIS ile sorgulayın. Şüphelendiğiniz bir alan adını whois.domaintools.com gibi bir araçla sorgulayın. Bir haftadan eski olmayan bir domain phishing için güçlü bir işarettir.

9. İki faktörlü doğrulamanın varlığını test edin. Meşru platformlar giriş yaparken 2FA kodu ister. Sahte giriş sayfaları bu adımı atlayabilir ya da simüle eder.

10. Şüphelendiğinizde göndericiye telefon ile doğrulama yapın. Büyük bir ödeme ya da hesap değişikliği talep eden bir e-posta aldıysanız, aynı e-postaya cevap vermek yerine zaten bildiğiniz bir numaradan arayarak doğrulayın.

Vaka A — İstanbul'da 5 Yıldızlı Bir Otel: Muhasebe departmanına "tedarikçi banka bilgisi güncellendi" içerikli bir e-posta geldi. Gönderici adı gerçek tedarikçiyle aynıydı ancak alan adı tek bir harf farkı içeriyordu (ornekltemizlik.com yerine ornektemizlik.com). Çalışan yanlış IBAN'a 28.000 TL transfer yaptı. Transfer sonrası tedarikçiyle telefon görüşmesi yapılınca hata fark edildi; ancak para iade alınamadı.

Vaka B — Antalya'da Bir Tatil Köyü: Önbüro çalışanına "misafir şikayeti" başlıklı bir e-posta geldi. Ekte "şikayet_20240315.docm" adlı Word dosyası vardı. Dosya açıldığında fidye yazılımı çalıştı ve PMS sistemindeki 3 aylık rezervasyon verisi şifrelendi. 12 saatlik sistem kesintisi ve data recovery maliyeti işletmeye yaklaşık 85.000 TL'ye mal oldu.

Etkin bir otel phishing eğitim programının 4 bileşeni olmalıdır:

1. Temel farkındalık eğitimi (yılda 2 kez, 1 saatlik): Gerçek vaka analizleri üzerinden hangi işaretlerin tehlikeye işaret ettiğini öğretin.

2. Simülasyon testleri (3 ayda bir): Google phishing quiz gibi ücretsiz araçlar veya KnowBe4, Proofpoint gibi kurumsal platformlar kullanılabilir. Tıklayan çalışanlar hemen eğitime yönlendirilmeli, asla cezalandırılmamalıdır.

3. Bildirim kültürü oluşturma: Şüpheli e-postayı bildiren çalışanı takdir edin. "Emin değilim ama bildirdim" davranışı yaygınlaştırılmalıdır.

4. Departmana özel senaryolar: Muhasebe personeline fatura dolandırıcılığı, önbüro çalışanlarına misafir şikayeti kılığındaki zararlı ekler, İK personeline bordro/maaş temalı saldırılar özelinde eğitim verilmelidir.

Otel personelinin hesaplarının hacklendiği vaka analizleri ve otel web sitesi güvenlik kontrol listesi içeriklerimizde bu tehdide karşı alınabilecek ek önlemleri bulabilirsiniz.

Bir çalışan phishing e-postasına tıkladığını veya bilgilerini paylaştığını fark ettiğinde izlenmesi gereken acil adımlar:

1. Cihazı ağdan derhal ayırın. Wi-Fi ve kablolu ağ bağlantısını kesin.
2. BT/bilgi işlem sorumlusunu arayın. E-posta değil, telefon kullanın.
3. Ele geçirilen hesabın parolasını değiştirin. Farklı, güvenli bir cihazdan.
4. 2FA kodlarını sıfırlayın.
5. Yöneticiye bildirin. Phishing, organizasyonun tamamını etkileyebilir.
6. Gerekirse BTK ve [USOM](https://www.usom.gov.tr)'a bildirim yapın.

Sahte otel sitesi nedir kapsamlı rehber içeriğinde dijital saldırıların genel yapısı hakkında daha geniş bilgi bulabilirsiniz.

Hayır. Cezalandırma korkusu, çalışanların gerçek bir saldırıyı bildirmesini engeller. Tıklayan çalışanı eğitime yönlendirin, sonuçları anonimleştirerek departman bazlı raporlama yapın.

Evet. Mobil ekranlarda gönderici adresi tam görünmez, URL önizleme çalışmaz ve küçük harfler arasındaki fark fark edilmez. Bu nedenle kurumsal e-postalar mümkünse masaüstü cihazda açılmalıdır.

Gmail'de "Kimlik Avını Raporla", Outlook'ta "Kimlik Avı Olarak Raporla" seçeneğini kullanın. Ayrıca USOM'un ihbar formunu ve kurumsal BT departmanınızı bilgilendirin.

Phishing saldırıları her yıl daha gelişmiş hale geliyor; ancak temel tespit yöntemleri değişmiyor. Gönderici alan adını kontrol etmek, bağlantılara tıklamadan önce URL'yi incelemek ve şüpheli durumu bildirme kültürünü oluşturmak — bu üç alışkanlık otel personelinin phishing saldırılarına karşı en etkili kalkanını oluşturuyor. Kapsamlı bir dijital koruma için otel sektöründe siber güvenlik tehditleri rehberimizi de incelemenizi öneririz.