Freepik

O aumento global de tentativas de phishing direcionadas ao setor hoteleiro tem chamado a atenção do mercado, com ocorrências registradas em diferentes países e envolvendo comunicações fraudulentas em nome de grandes plataformas de reservas. Diante disso, a Omnibees faz um alerta ao setor sobre a importância de reforçar medidas de prevenção.

Phishing é o tipo de golpe em que criminosos se passam por entidades confiáveis (bancos, empresas, órgãos governamentais) para enganar vítimas via e-mail, SMS ou redes sociais. Reportagens indicam que golpes envolvendo comunicações falsas em nome de players globais já causaram prejuízos significativos, incluindo perdas que chegam a centenas de milhares de reais, e impactos diretos na relação entre hotéis e hóspedes, conforme detalhado em análises recentes da PANROTAS.

Segundo análise da Microsoft, campanhas recentes têm utilizado abordagens cada vez mais sofisticadas, incluindo simulação de páginas legítimas, uso de arquivos maliciosos e captura de credenciais, evidenciando a evolução técnica desses ataques em escala global.

Esse cenário reforça que as tentativas não estão relacionadas a falhas em plataformas específicas, mas sim a ações externas que exploram engenharia social e rotinas operacionais da hotelaria.

“O que vemos hoje é um contexto mundial, com ataques mais direcionados ao setor de hospitalidade. O objetivo é explorar o dia a dia das operações e induzir colaboradores e hóspedes a ações indevidas”, destaca Douglas Petrocino, diretor de TI da Omnibees.

Reprodução/Linkedin

Como os ataques acontecem na prática

Os ataques seguem um fluxo estruturado dentro da operação hoteleira, explorando principalmente o acesso de colaboradores a sistemas e extranet de reservas. O processo geralmente começa com o envio de e-mails que simulam comunicações legítimas de plataformas, como Booking.com, por exemplo, utilizando temas operacionais do dia a dia — como solicitações de hóspedes, atualizações de reserva ou alertas de disponibilidade. Esses contatos direcionam para páginas falsas, desenvolvidas para capturar credenciais de acesso aos sistemas.

Em etapas mais avançadas, conforme apontado na análise da Microsoft e em investigações publicadas pelo The Hacker News, os ataques passam a utilizar páginas com verificações simuladas — como falsos CAPTCHAs — que induzem o usuário a realizar ações indevidas. Esse tipo de abordagem, conhecida como “ClickFix”, pode levar à execução de comandos no sistema ou ao download de arquivos maliciosos, permitindo a instalação de softwares que comprometem o ambiente e ampliam o acesso dos hackers.

Uma vez com acesso aos sistemas ou contas, os criminosos passam a atuar diretamente sobre a base de reservas, entrando em contato com hóspedes por e-mail ou aplicativos de mensagem, utilizando informações reais para dar legitimidade à abordagem. O golpe se concretiza quando o cliente é direcionado para páginas fraudulentas, com aparência semelhante aos sites nos quais compraram as reservas, onde insere seus dados financeiros e é lesado.

PANROTAS / Emerson Souza

Recomendações para hotéis

Nesse contexto, a Omnibees recomenda a adoção de medidas preventivas para reduzir riscos operacionais e proteger dados sensíveis.

As principais orientações são:

• Reforçar políticas de senha e controle de acessos dos funcionários que utilizam as plataformas de gestão
• Revisar permissões e limitar acesso a dados sensíveis
• Utilizar protocolos de segurança de e-mail (SPF, DKIM e DMARC)
• Evitar acesso a sistemas por links recebidos via e-mail ou mensagens
• Bloquear domínios suspeitos e monitorar atividades incomuns
• Restringir o uso de dispositivos pessoais em sistemas específicos do hotel
• Separar redes de Wi-fi internas e de hóspedes
• Treinar equipes sobre como identificar de tentativas de phishing

É importante observar que a engenharia social é um dos principais vetores desses ataques, explorando o fator humano para obter acessos e dados sensíveis. Por isso, a capacitação das equipes e a adoção de boas práticas de segurança são fundamentais para prevenir ocorrências.

Orientações para comunicação com hóspedes

Além das medidas internas, a Omnibees reforça a importância de orientar os clientes como forma de prevenção.

Entre as recomendações:

• Informar que o hotel não solicita pagamentos ou dados sensíveis por WhatsApp ou canais não oficiais
• Reforçar quais são os canais oficiais de comunicação
• Orientar hóspedes a confirmarem qualquer solicitação diretamente com o hotel

Como agir em caso de suspeita

Caso haja qualquer indício de comprometimento, a orientação é agir rapidamente para mitigar impactos.

As ações recomendadas incluem:

• Redefinição de senhas e encerramento de sessões ativas
• Verificação de máquinas e sistemas utilizados
• Revisão de acessos e permissões
• Comunicação preventiva com hóspedes potencialmente impactados

A resposta rápida é essencial para reduzir prejuízos e preservar a confiança dos clientes.

A Omnibees reforça que a segurança no setor hoteleiro depende da combinação entre tecnologia, processos e capacitação das equipes, e que a adoção de boas práticas é essencial para reduzir riscos e preservar a segurança das operações e dos hóspedes.

Para apoiar o setor na prevenção desses ataques, a Omnibees disponibilizou um material completo com orientações práticas sobre como identificar tentativas de phishing e proteger a operação.

Acesse o conteúdo completo e saiba como se proteger, clique aqui.