คำแนะนำด้านความปลอดภัย: แคมเปญฟิชชิงที่มุ่งเป้าไปยังผู้ให้บริการด้านการต้อนรับ

ภาพรวม

Cloudbeds กำลังติดตาม แคมเปญฟิชชิ่ง ที่กำลังดำเนินอยู่ซึ่งส่งผลกระทบต่อธุรกิจการต้อนรับทั่วทั้งอุตสาหกรรม แม้ว่าเหตุการณ์โจมตีเหล่านี้จะถูกรายงานในผู้ให้บริการเทคโนโลยีโรงแรมหลายราย แต่ลูกค้าบางรายของ Cloudbeds อาจเป็นเป้าหมายด้วยเช่นกัน

เราจัดเตรียมข้อมูลนี้เพื่อให้คุณมองเห็นภาพรวมทั้งหมดและสามารถดำเนินการ ขั้นตอนป้องกัน ได้ทันที รวมถึงการฝึกอบรมพนักงานของคุณเกี่ยวกับสัญญาณเตือนที่ควรระวัง ทีมรักษาความปลอดภัยของ Cloudbeds กำลังเฝ้าติดตามและตอบสนองต่อภัยคุกคามนี้อย่างต่อเนื่องเพื่อปกป้องแพลตฟอร์มของเรา ลูกค้า และผู้เข้าพักของพวกเขา

บทความนี้ประกอบด้วย: 

• คำตอบสำหรับคำถามที่พบบ่อย เกี่ยวกับแคมเปญและผลกระทบที่เกิดขึ้น
• ภาคผนวกของ ตัวชี้วัดการถูกโจมตี (IOCs) สำหรับทีมเทคนิคหรือทีมรักษาความปลอดภัยโดยเฉพาะ เพื่อช่วยระบุและบล็อกกิจกรรมที่เป็นอันตรายในเครือข่ายของคุณ

คำถามที่พบบ่อย (FAQ)

เกิดอะไรขึ้นและทำไมถึงสำคัญ?

เราได้สังเกตเห็นผู้โจมตีสร้าง หน้าล็อกอินปลอม ที่เลียนแบบพอร์ทัลเข้าสู่ระบบ Cloudbeds ของแทบทุกประการ หน้าปลอมเหล่านี้ถูกโปรโมตผ่าน Google Ads และช่องทางอื่น ๆ เพื่อหลอกพนักงานโรงแรมให้กรอกข้อมูลประจำตัว เมื่อผู้ใช้งานกรอกรหัสผ่านและรหัสการพิสูจน์ตัวตนแบบหลายปัจจัยบน หน้าปลอม ผู้โจมตีจะใช้ข้อมูลประจำตัวที่ได้เพื่อ:

1. เข้าสู่ระบบบัญชี Cloudbeds โดยใช้ข้อมูลที่ถูกขโมย
2. เข้าถึงและส่งออกข้อมูลการจอง รวมถึงชื่อผู้เข้าพัก รายละเอียดการติดต่อ และข้อมูลการจอง
3. ส่งข้อความฟิชชิ่งไปยังผู้เข้าพักโดยใช้ระบบส่งข้อความ Cloudbeds Guest Experience หรือเครื่องมืออีเมลมาตรฐาน ทำให้ข้อความดูเหมือนถูกต้องตามกฎหมาย
4. ติดต่อผู้เข้าพักโดยตรงผ่าน WhatsApp หรืออีเมล พร้อมคำขอชำระเงินปลอม โดยมักสร้างความเร่งด่วนเกี่ยวกับการชำระเงิน “ค้างชำระ” หรือ “ยืนยันแล้ว” และชี้นำผู้เข้าพักไปยังลิงก์ที่เป็นอันตรายซึ่งออกแบบมาเพื่อขโมยข้อมูลการชำระเงินของพวกเขา

URL ใดบ้างที่เป็นส่วนหนึ่งของแคมเปญฟิชชิ่ง?

URL ที่เป็นอันตรายในแคมเปญนี้อาจแตกต่างกันและเปลี่ยนแปลงบ่อยครั้ง หน้าล็อกอินปลอม ถูกออกแบบให้ดูเหมือนหน้าล็อกอิน Cloudbeds ของแท้เกือบทั้งหมด โดย URL มักเป็นความแตกต่างที่เห็นได้ชัดเจนเพียงอย่างเดียว

พันธมิตรการปกป้องแบรนด์ของเราติดตามและดำเนินการลบโดเมนเหล่านี้อย่างต่อเนื่องเมื่อมีการระบุ สำหรับลูกค้าที่มีทีมเทคนิค รายการ URL ที่เป็นอันตรายที่ทราบแล้วจะรวมอยู่ในภาคผนวก แม้ว่าจะมี URL ใหม่ปรากฏขึ้นตามเวลา

เพื่อความปลอดภัย เราแนะนำให้บันทึกหน้าเข้าสู่ระบบ Cloudbeds อย่างเป็นทางการ (signin.cloudbeds.com) ไว้ในบุ๊กมาร์ก และกระตุ้นให้พนักงานเข้าถึง Cloudbeds ผ่านลิงก์ที่บันทึกไว้เท่านั้น แทนที่จะเข้าผ่านโฆษณา ผลการค้นหา หรือลิงก์ในอีเมลหรือข้อความ

เปิดใช้งาน การพิสูจน์ตัวตนแบบหลายปัจจัย (MFA) ในบัญชีที่ถูกโจมตีหรือไม่?

ใช่ บัญชีที่ถูกโจมตีทั้งหมดที่ตรวจสอบจนถึงตอนนี้ใช้ MFA แบบอิงตัวสร้างรหัส (รหัสแบบใช้ครั้งเดียวตามเวลา) อย่างไรก็ตาม รหัสตัวสร้างรหัสไม่ได้ป้องกันการฟิชชิ่ง ผู้โจมตีจะดักจับรหัสเหล่านี้แบบเรียลไทม์เมื่อผู้ใช้กรอกในหน้าเข้าสู่ระบบปลอม จากนั้นนำรหัสไปใช้ทันทีเพื่อเข้าถึงบัญชีจริง

เพื่อปกป้องผู้ใช้งานของคุณ เราขอแนะนำอย่างยิ่งให้เปลี่ยนไปใช้วิธี MFA ที่ต้านทานการฟิชชิ่งได้:

1. Passkeys / Security Keys — การพิสูจน์ตัวตนด้วยฮาร์ดแวร์หรืออุปกรณ์ที่ไม่สามารถถูกฟิชชิ่งได้
2. Okta Verify พร้อมการแจ้งเตือนแบบพุช — การตรวจสอบยืนยันที่ผูกกับอุปกรณ์ ช่วยเพิ่มการป้องกันการดักจับข้อมูลประจำตัวแบบเรียลไทม์ได้ดียิ่งขึ้น

Cloudbeds ตรวจจับและตอบสนองต่อกิจกรรมที่เป็นอันตรายอย่างไร?

การปกป้องธุรกิจและผู้เข้าพักของคุณเป็นความสำคัญร่วมกัน ทีมความปลอดภัยของเรากำลังติดตามและตอบสนองต่อภัยคุกคามนี้อย่างต่อเนื่อง เราใช้ ชั้นการตรวจจับ และการป้องกันหลายชั้นที่ออกแบบมาเพื่อระบุพฤติกรรมที่น่าสงสัยตั้งแต่เนิ่นๆ และจำกัดผลกระทบที่อาจเกิดขึ้น:

1. การวิเคราะห์ความเสี่ยงการเข้าสู่ระบบ รวมถึงการตรวจจับความผิดปกติทางภูมิศาสตร์ การตรวจสอบความเร็วการเดินทาง การระบุอุปกรณ์ใหม่ และการให้คะแนนความน่าเชื่อถือของ IP เพื่อระบุและบล็อกความพยายามเข้าสู่ระบบที่น่าสงสัย
2. การติดตามพฤติกรรม ที่ยุติการใช้งานโดยอัตโนมัติเมื่อพบรูปแบบที่สอดคล้องกับการละเมิดบัญชี
3. การตรวจจับการฉ้อโกงแบบบูรณาการ ที่บล็อกอีเมลและข้อความที่มี URL ที่น่าสงสัย
4. การควบคุมโดเมน รวมถึงรายการดำทั่วโลกสำหรับโดเมนที่เป็นอันตรายที่ทราบแล้ว และรายการขาวต่อบัญชีเพื่อให้คุณควบคุมโดเมนที่อนุญาตในสื่อสารกับผู้เข้าพักได้
5. การปกป้องแบรนด์อย่างต่อเนื่อง เพื่อระบุและลบหน้าล็อกอินปลอมและโดเมนที่แอบอ้าง

เรายังทำงานร่วมกับหน่วยงานและผู้ให้บริการที่เกี่ยวข้องเพื่อขัดขวางกลุ่มภัยคุกคามนี้

มีลูกค้า Cloudbeds รายอื่นถูกโจมตีหรือไม่?

ใช่ นี่เป็นส่วนหนึ่งของแคมเปญโจมตีที่ประสานงานกันในวงกว้างที่มุ่งเป้าไปยังภาคการต้อนรับทั่วโลก ลูกค้าที่ใช้ MFA แบบอิงตัวสร้างรหัส (รหัสแบบใช้ครั้งเดียว) มีความเสี่ยงสูงที่สุด

เราสามารถดำเนินการระยะสั้นอะไรได้บ้างเพื่อลดความเสี่ยง?

เราขอแนะนำอย่างยิ่งดังนี้:

1. ใช้ MFA ที่ต้านทานการฟิชชิ่ง — เปลี่ยนผู้ใช้ไปใช้รหัสผ่านแบบ passkeys หรือ Okta Verify แอปตัวตรวจสอบที่ใช้รหัสตามเวลามีความเสี่ยงต่อการถูกฟิชชิ่งแบบเรียลไทม์
2. บันทึก URL เข้าสู่ระบบที่ถูกต้อง — ใช้ https://signin.cloudbeds.com เสมอ และหลีกเลี่ยงการใช้เครื่องมือค้นหาเพื่อไปยังหน้าล็อกอิน ผู้โจมตีใช้โฆษณาค้นหาที่จ่ายเงินเพื่อวางลิงก์ปลอมเหนือผลลัพธ์ที่ถูกต้อง
3. ตรวจสอบบัญชีผู้ใช้ — ลบบัญชีผู้ใช้ที่ไม่จำเป็น และลดสิทธิ์ โดยเฉพาะการส่งออกข้อมูลและการเข้าถึง PII ให้เฉพาะผู้ที่ต้องการเท่านั้น
4. ทบทวนสิทธิ์การส่งออก — ใน การตั้งค่าบทบาทผู้ใช้งาน ให้ลบการเข้าถึง “Reservation - export reservation list” และการดึงข้อมูล PII สำหรับบทบาทใดๆ ที่ไม่จำเป็นต้องใช้
5. ตั้งค่ารายการโดเมนที่อนุญาต — ติดต่อการสนับสนุนของ Cloudbeds เพื่อกำหนดค่ารายการโดเมน Guest Experience ที่อนุมัติ เพื่อจำกัด URL ที่สามารถรวมอยู่ในการสื่อสารกับผู้เข้าพักจากบัญชีของคุณ
6. ฝึกอบรมพนักงานของคุณ — ให้แน่ใจว่าผู้ใช้ทุกคนรู้จักตรวจสอบว่ากำลังอยู่ที่ https://signin.cloudbeds.com ก่อนกรอกข้อมูลประจำตัว และไม่เคยเข้าสู่ระบบผ่านลิงก์ที่ได้รับทางอีเมลหรือโฆษณาในเครื่องมือค้นหา

มีการโจมตีอื่นๆ ที่ฉันควรระวังไหม?

ลูกค้าบางรายรายงานว่าได้รับอีเมลที่น่าสงสัยหรือเป็นอันตรายจากผู้ส่งที่ไม่รู้จักซึ่งพยายามแอบอ้างเป็น Cloudbeds หรือแพลตฟอร์มการต้อนรับอื่นๆ หากคุณสังเกตเห็นกิจกรรมที่ผิดปกติในบัญชี Cloudbeds ของคุณ เราแนะนำให้ตรวจสอบอินบ็อกซ์อีเมลของคุณด้วยสำหรับข้อความที่ไม่คาดคิดหรือน่าสงสัย

หากคุณได้รับอีเมลฟิชชิ่ง ให้ส่งต่อไปที่ support@cloudbeds.com โดยใช้หัวข้อเรื่อง “Phishing” เพื่อให้ทีมของเราตรวจสอบและลบโดเมนที่เป็นอันตราย

ผู้เข้าพักอาจได้รับข้อความหลอกลวงผ่าน WhatsApp หรือช่องทางอื่น ๆ จากมิจฉาชีพที่แอบอ้างเป็นที่พักของคุณ ควรแจ้งเตือนผู้เข้าพักล่วงหน้าว่าที่พักของคุณจะไม่ขอการตรวจสอบยืนยันการชำระเงิน รายละเอียดบัตร หรือการชำระเงินเร่งด่วนผ่าน WhatsApp หรือ ลิงก์ภายนอกใด ๆ

หากคุณพบสิ่งที่น่าสงสัย ให้รายงานไปยัง การสนับสนุนของ Cloudbeds (support@cloudbeds.com) ทันที

ภาคผนวก: ตัวบ่งชี้การถูกโจมตี (IOCs)

(ไม่บังคับ — สำหรับลูกค้าที่มีทีมเทคนิคหรือความปลอดภัย)

ใช้ข้อมูลเหล่านี้เพื่อบล็อกหรือเฝ้าระวังกิจกรรมที่น่าสงสัยเมื่อเป็นไปได้ รายงานผลการตรวจสอบที่เกี่ยวข้องไปยัง การสนับสนุนของ Cloudbeds

ที่อยู่อีเมลฟิชชิ่งที่รู้จัก

ที่อยู่อีเมลต่อไปนี้ถูกระบุว่าเป็นแหล่งที่มาของอีเมลฟิชชิ่งที่มุ่งเป้าไปยังลูกค้า Cloudbeds และผู้เข้าพักของพวกเขา:

1. contato@10138743.brevosend.com
2. support@kokazia.freshdesk.com
3. amatolucia@outlook.com

URL ฟิชชิ่ง / โดเมนที่เป็นอันตราย

โดเมนที่เป็นอันตรายที่รู้จักซึ่งใช้ในแคมเปญฟิชชิ่งที่มุ่งเป้าไปยังลูกค้า Cloudbeds URL ใหม่ปรากฏขึ้นบ่อยครั้ง; รายการนี้เป็นปัจจุบัน ณ วันที่ 5 กุมภาพันธ์ 2026:

1. kokazia[.]freshdesk[.]com
2. 10138743[.]brevosend[.]com
3. terralsuites[.]com[.]ar

ที่อยู่ IP ที่เป็นอันตรายที่รู้จัก

ที่อยู่ IP ต่อไปนี้ได้รับการยืนยันว่าเป็นโครงสร้างพื้นฐานของผู้โจมตีที่ใช้ในการโจมตีบัญชี:

1. 92.243.64.222
2. 51.195.242.229

ตัวบ่งชี้การหลอกลวงผ่าน WhatsApp

ผู้เข้าพักอาจได้รับข้อความ WhatsApp จากหมายเลขที่ไม่รู้จักซึ่งแอบอ้างเป็นที่พักของคุณและขอการชำระเงินเร่งด่วน ลักษณะทั่วไป ได้แก่:

1. การขอให้ “ยืนยันการจองของคุณ” ผ่านลิงก์ชำระเงินภายนอก
2. กดดันให้ดำเนินการทันทีหรือเสี่ยงต่อการถูกยกเลิก
3. ลิงก์ไปยังโดเมนที่ไม่ใช่ของที่พักของคุณหรือ Cloudbeds

โดเมนที่เป็นการหลอกลวงที่รู้จักซึ่งใช้ในกลโกงผู้เข้าพัก

โดเมนต่อไปนี้ถูกใช้ในการสื่อสารหลอกลวงที่มุ่งเป้าไปยังผู้เข้าพัก:

1. hxxp://cloudbeds-property-manager-signon.bolt.host
2. hxxp://cloudbeds-online.com
3. hxxp://ddk.joinposter.com
4. hxxp://cloudbeds-property-manager-signon.bolt.host
5. hxxp://corona-doner.joinposter.com
6. hxxp://signin.clauldbeds.com
7. hxxp://cloud-beds.app/
8. hxxp://cloudbeds-app.com/