Kaspersky, perusahaan Siber keamanan terkemuka temukan adanya skema penipuan baru yang targetnya staf atau pemilik hotel. Penipu mencuri kredensial dan menginfeksi komputer menggunakan malware.
Penipu kemudian membuat email palsu menjadi korespondensi tamu sebelumnya dan para calon tamu, menjerat korban dengan melakukan eksploitasi bisnis hotel pada layanan pelanggan. Email yang dibuat hacker dibuat semirip mungkin dengan keluhan atau pertanyaan dari tamu, muncul sebagai permintaan mendesak dari Booking.com dan email publik hotel agar memberi tanggapan pada komentar pengguna yang tak diawasi.
Curi Kredensial dan Unduhan Malware Jadi Target Utama
Padahal email keluhan tersebut sebenarnya dibuat hacker untuk mengelabuhi karyawan hotel agar bocorkan kredensial atau mengunduh malware. Kaspersky pada hari Minggu (16/2) menyebut hacker penipu membuat email dengan kalimat masuk akal, nampak seperti keluhan atau permintaan dari pelanggan asli dimana staf hotel bertugas meresponnya secara rutin.
Reputasi nilai hotel sendiri pada umumnya menjadi bagian berharga di sektor perhotelan, dijadikan salah satu acuan tamu yang ingin menginap serta gambaran utama di mata publik, staf cenderung bersegera untuk menanggapi email tipuan ini.
Staf pun kemungkinan lebih banyak mengklik tautan phising atau membuka lampiran berisi malware yang dikirim hacker, dan akhirnya pihak hotel jatuh ke dalam perangkap. Layanan email gratis dipakai hacker untuk melakukan aksinya, sebagaimana email Google yang biasa dikirim para tamu. Jelas membuat staf kesulitan membedakan mana pesan berisi tipuan dan yang benar-benar asli dari tamu.
Email tipuan berisi malware yang dikirim hacker umumnya berisi dua kategori. Yang pertama keluhan dari tamu sebelumnya, menggambarkan pengalaman negatif misalnya ada staf kasar, ruangan kurang bersih, dan lainnya dengan referensi foto dan video agar staf membukanya. Ketika file dibuka, masuklah malware ke sistem perhotelan membuat rugi pihak pengusaha.
Kategori kedua meminta staf membuka lampiran yang berisi pertanyaan tentang fasilitas, ketersediaan kamar, harga, atau informasi bantuan perjalanan ke hotel dengan tujuan mengumpulkan kredensial yang nantinya dipakai untuk penyerangan lanjutan atau menjualnya di forum gelap (darknet).
Baca juga: Kejahatan Phising Terus Menghantui! Ciri-ciri dan Cara Mencegahnya
Penipu Manfaatkan Peluang Citra Perusahaan Untuk Menyusup
“Di industri perhotelan, hacker menargetkan karyawan yang ingin unggul dalam memberi layanan kepada pelanggannya. Agar hotel terhindar dari serangan ini, mereka harus memiliki filter email yang kuat, memberi pelatihan rutin untuk karyawan agar mampu mengenali upaya berbahaya, serta menerapkan protokol verifikasi keaslian permintaan mendesak sebelum mereka meresponnya” kata Anna Lazaricheva, analisis spam di Kaspersky.
Pada intinya, aksi hacker yang menyerang bisnis perhotelan memanfaatkan niat pengusaha untuk aspek keunggulan mereka, mengeksploitasi hal paling rentan untuk mencapai tujuan buruk mereka. Mereka memanipulasi komitmen dan kerja keras staf yang ingin selesaikan masalah dengan cepat. Kesungguhan bekerja staf hotel justru bisa beresiko menjadi korban skema penipuan.
Cara Mencegah Serangan Phising Untuk Bisnis Perhotelan
Para ahli Kaspersky memberi saran pada pihak perhotelan maupun industri serupa lain agar melakukan langkah-langkah berikut untuk mencegah serangan phising yaitu :
· Memberi pelatihan keamanan siber pada staf agar staf paham cara membedakan email asli dan phising
· Melindungi server email dengan sistem anti phising untuk mengurangi kemampuan penipuan contohnya Kaspersky Security for Mail atau Kaspersky Endpoint Security for Business
· Melindungi Microsoft 365 jika memakainya misalnya dengan aplikasi Teams, SharePoint, atau OneDrive agar komunikasi bisnis lebih aman
· Mencegah komputer terkunci karena lampiran berbahaya atau email phising
· Melakukan manajemen perlindungan yang terbukti baik itu untuk usaha kecil, menengah, maupun kelas atas
Belajar dari kejadian tersebut, semua bidang pekerjaan memiliki potensi yang sama mendapatkan serangan phising. Jadi mulai sekarang, disarankan untuk berhati-hati saat menerima chat atau email dari orang tidak dikenal. Jangan sembarangan membuka dan mengunduh link untuk mencegah serangan malware.
