De laatste tijd worden hotels in toenemende mate bestookt door phishing, waarbij kwaadaardige berichten in de vorm van e-mails letterlijk vissen naar gevoelige informatie over bedrijf en klant. De beste manier om zich hiertegen te verdedigen is een preventiecultuur. Alle personeelsleden die met communicatiemiddelen in contact komen, moeten leren hoe ze zulke berichten kunnen herkennen en rapporteren.
Phishing is een fenomeen dat niet alleen grote schade kan toebrengen aan hotels, maar ook aan klanten. Phishing via e-mail bestaat al bijna dertig jaar, maar de explosieve groei die we op dit moment beleven is vooral het gevolg van de opkomst van artificiële intelligentie (AI), waardoor valse berichten nu snel en op een geautomatiseerde manier verstuurd kunnen worden. Meestal met een vrij geloofwaardige opbouw en presentatie.
Digitale oplichters hebben ontdekt dat het gastvrije karakter van de hotelsector een vrij kwetsbaar element is waar ze handig kunnen op inspelen. Aan de ene kant worden vooral kleinere hotels geviseerd. Die zijn vaak relatief weinig beschermd door de lagere aanwezigheid van dure beveiligingssystemen voor hun computers. Bovendien hebben ze een eerder beperkt en vaak wisselend personeelsbestand dat niet zo vertrouwd is met phishing. Aan de andere kant zijn ook de grote hotelgroepen aantrekkelijke prooien omdat ze met hun omvangrijke en complexe structuren minder snel kunnen reageren op veranderingen. Maar groot of klein: niemand is veilig voor phishing.
Vroeger konden vervalste berichten relatief snel herkend worden via de slechte spelling en opbouw, of via de verdachte mailadressen. Maar door de huidige AI zien deze e-mails er in toenemende mate geloofwaardiger en realistischer uit. Bovendien gaan de oplichters ook steeds creatiever te werk, onder meer via ‘social engineering’ toegepast. Dan wordt in meerdere stappen een vertrouwensband opgebouwd. Pogingen om informatie te stelen gebeuren dan eerder tijdens het tweede of derde bericht. Of ze laten e-mails voorafgaan door een telefoontje.
Een fraai voorbeeld hiervan is een bericht naar aanleiding van de kamerboeking, waarbij een valse klant aan een personeelslid van een hotel vertelt dat hij een verrassing voor zijn vrouw wenst. In het tweede bericht verwijst hij dan naar een bijlage waarin gedetailleerde instructies staan over hoe een speciale sfeer in de kamer gecreëerd kan worden. Van zodra dat het personeelslid die bijlage open klikt, krijgt de oplichter mogelijkheden om gevoelige informatie van het hotel te stelen.
Een opvallend kenmerk van phishingmails is het urgente karakter, waarbij gewoonlijk dringend extra informatie gevraagd wordt of erg snel moet worden betaald. Eigenlijk zou dit automatisch een krachtige rem bij de ontvangers van dergelijke berichten in werking moeten zetten.
Vaak wordt er informatie, zoals wachtwoorden, gevraagd via een link in de e-mail die naar een vervalste website leidt. Een ander middel is een bijlage in de mail, zeg maar een bestand dat bij het openen een kwaadaardig programma op het computernetwerk van het hotel installeert. Zo kan allerlei gevoelige informatie van zowel het bedrijf als de klanten gestolen worden via malware, spyware… Ook een link in de mail kan software met een steelprogramma of infostealer bevatten.
Van zodra de digitale oplichters voldoende informatie geroofd hebben, contacteren ze vervolgens de hotelklanten om informatie of geld te proberen aftroggelen door zich op een misleidende manier als het echte hotel voor te stellen. Bij phishing wordt dus in toenemende mate het hotelpersoneel geviseerd. De oplichters mikken vooral op het feit dat ze hun klanten zo snel mogelijk willen helpen door hun vragen bijna ogenblikkelijk te beantwoorden.
Zowat alle specialisten zijn het er roerend over eens dat de beste manier om zich als hotel tegen phishing te wapenen een heuse preventiecultuur is. Onder het motto ‘educatie is de sleutel’ moet het personeel blijvend opgeleid worden om phishing te herkennen. Ze leren dan niet alleen dat ze nooit direct mogen reageren op dringende vragen naar gevoelige informatie, maar ook dat klikken op links of bijlages in e-mails uit den boze is en blijft. Bovendien kunnen tijdens deze vormingsmomenten de laatste trends van phishing gedemonstreerd worden, bijvoorbeeld via simulaties.
In elk geval is het dus enorm belangrijk dat de personeelsleden van hotels verdachte berichten leren herkennen. Hierbij aansluitend is het even cruciaal dat ze actief bewust gemaakt worden van het feit dat deze vermoedelijke fraudepogingen ook zo snel mogelijk aan de (nabije) collega’s en aan het hotelmanagement gemeld moeten worden. Naast de creatie van een preventiecultuur gaat het dus om de installatie van een waarschuwingscultuur. Bedrijven bieden opleidingsprogramma’s aan om hotels hierin te ondersteunen.