Güvenlik Uyarısı: Konaklama Sağlayıcılarını Hedef Alan Kimlik Avı Kampanyası

Genel Bakış

Cloudbeds, sektör genelinde konaklama işletmelerini etkileyen devam eden bir oltalama kampanyasını takip ediyor. Bu saldırılar birçok otel teknoloji sağlayıcısında rapor edilmiş olsa da, bazı Cloudbeds müşterileri de hedef alınmış olabilir.

Bu bilgileri, tam görünürlüğe sahip olman ve personelini dikkat edilmesi gereken belirli uyarılar konusunda eğitmek gibi önleyici adımlar atabilmen için sağlıyoruz. Cloudbeds Güvenlik ekibi, platformumuzu, müşterilerimizi ve misafirlerini korumak için bu tehdidi aktif olarak izliyor ve müdahale ediyor.

Bu makalede şunlar yer almaktadır:

• Kampanya ve etkileri hakkında yaygın soruların cevapları.
• Tehlike Göstergeleri (IOC) Ekleri, teknik veya güvenlik ekiplerinin ağınızda kötü amaçlı faaliyetleri tespit edip engellemesine yardımcı olmak için.

SSS

Neler oluyor ve neden önemli?

Saldırganların, gerçek Cloudbeds giriş portalını neredeyse birebir taklit eden sahte giriş sayfaları oluşturduğunu gözlemledik. Bu sahte sayfalar, otel personelini kimlik bilgilerini girmeye ikna etmek için Google Reklamları ve diğer kanallarda tanıtılıyor. Bir kullanıcı, sahte sayfada şifresini ve Çok Faktörlü Kimlik Doğrulama kodunu girdikten sonra, saldırganlar ele geçirilen kimlik bilgilerini kullanarak:

1. Çalınan kimlik bilgileriyle Cloudbeds hesabına giriş yapar
2. Misafir isimleri, iletişim bilgileri ve rezervasyon detayları dahil olmak üzere rezervasyon verilerine erişir ve dışa aktarır
3. Cloudbeds Guest Experience mesajlaşma veya standart e-posta araçları kullanarak misafirlere oltalama mesajları gönderir, böylece mesajlar meşru görünür
4. WhatsApp veya e-posta yoluyla doğrudan misafirlerle iletişime geçer, genellikle “bekleyen” veya “onaylanmış” rezervasyon ödemeleri hakkında aciliyet yaratarak sahte ödeme talepleri gönderir ve misafirleri ödeme bilgilerini çalmak için tasarlanmış kötü amaçlı bağlantılara yönlendirir.

Hangi URL’ler oltalama kampanyasının parçası?

Bu kampanyada kullanılan kötü amaçlı URL’ler değişken olup sık sık değişebilir. Sahte giriş sayfaları, gerçek Cloudbeds giriş sayfasına neredeyse tamamen benzer şekilde tasarlanmıştır ve genellikle URL tek görünen farktır.

Marka koruma iş ortağımız, bu alan adlarını sürekli olarak izliyor ve tespit edildikçe kaldırmak için çalışıyor. Teknik ekipleri olan müşteriler için, bilinen kötü amaçlı URL’lerin listesi ek bölümde yer almakla birlikte, zamanla yeni URL’ler ortaya çıkabilir.

Önlem olarak, resmi Cloudbeds giriş sayfasını (signin.cloudbeds.com) yer imlerine eklemeni ve personelinin Cloudbeds’e her zaman bu kaydedilmiş bağlantı üzerinden erişmesini teşvik etmeni öneriyoruz; reklamlar, arama sonuçları veya e-postalardaki ya da mesajlardaki bağlantılar üzerinden değil.

Çok Faktörlü Kimlik Doğrulama (MFA) ele geçirilmiş hesaplarda etkin miydi?

Evet. Şimdiye kadar incelenen tüm ele geçirilmiş hesaplar, doğrulayıcı tabanlı MFA (zaman bazlı tek seferlik kodlar) kullanıyordu. Ancak, doğrulayıcı kodları oltalama saldırılarına karşı tamamen koruyucu değildir. Saldırganlar, kullanıcılar sahte giriş sayfasına kodları girerken bunları gerçek zamanlı olarak yakalar ve hemen ardından meşru hesaba erişmek için tekrar kullanır.

Kullanıcılarını korumak için, oltalama saldırılarına karşı dayanıklı MFA yöntemlerine geçmeni şiddetle öneriyoruz:

1. Parola Anahtarları / Güvenlik Anahtarları — Oltalanamayan donanım veya cihaz tabanlı kimlik doğrulama.
2. Push Bildirimli Okta Verify — Gerçek zamanlı kimlik bilgisi yakalama saldırılarına karşı daha güçlü koruma sağlayan cihaz bağlı doğrulama.

Cloudbeds kötü amaçlı faaliyetleri nasıl tespit ediyor ve yanıt veriyor?

İşinizi ve misafirlerinizi korumak ortak önceliğimizdir ve Güvenlik ekibimiz bu tehdidi aktif olarak izliyor ve yanıtlıyor. Şüpheli faaliyetleri erken tespit etmek ve potansiyel etkileri sınırlamak için tasarlanmış birden fazla algılama ve koruma katmanı kullanıyoruz:

1. Giriş risk analizi — Coğrafi anormallik tespiti, seyahat hızı kontrolleri, yeni cihaz tanımlaması ve IP itibar puanlaması dahil olmak üzere şüpheli kimlik doğrulama girişimlerini belirleyip engeller
2. Davranışsal izleme — Hesap kötüye kullanımıyla uyumlu kalıplar gösteren oturumları otomatik olarak sonlandırır
3. Entegre dolandırıcılık tespiti — Şüpheli URL içeren e-postaları ve mesajları engeller
4. Alan adı kontrolleri — Bilinen kötü amaçlı alan adları için küresel kara listeler ve misafir iletişimlerinde hangi alan adlarının izinli olduğunu kontrol edebilmen için hesap bazlı beyaz listeler
5. Sürekli marka koruması — Sahte giriş sayfalarını ve taklit alan adlarını tespit edip kaldırır

Ayrıca, bu tehdit grubunu engellemek için yetkililer ve ilgili hizmet sağlayıcılarla iş birliği yapıyoruz.

Başka Cloudbeds müşterileri de hedef alındı mı?

Evet. Bu, konaklama sektörünü küresel çapta hedef alan daha geniş, koordineli bir saldırı kampanyasının parçasıdır. Doğrulayıcı tabanlı MFA (tek seferlik kodlar) kullanan müşteriler en çok risk altındadır.

Riskleri azaltmak için kısa vadede hangi adımları atabiliriz?

Aşağıdakileri şiddetle öneriyoruz:

1. Phishing’e karşı dayanıklı MFA kullan — Kullanıcıları parola anahtarlarına veya Okta Verify uygulamasına geçir. Zaman bazlı kod kullanan doğrulayıcı uygulamalar gerçek zamanlı phishing saldırılarına karşı savunmasızdır.
2. Doğru giriş URL’sini yer imlerine ekle — Her zaman https://signin.cloudbeds.com adresini kullan ve giriş sayfasına ulaşmak için arama motorlarını kullanmaktan kaçın. Saldırganlar, meşru sonuçların üstünde sahte bağlantılar göstermek için ücretli arama reklamları kullanıyor.
3. Kullanıcı hesaplarını denetle — Gereksiz kullanıcı hesaplarını kaldır ve özellikle dışa aktarma ve PII erişimi gibi yetkileri sadece ihtiyaç duyanlara vererek sınırla.
4. Dışa aktarma izinlerini gözden geçir — Kullanıcı rolü ayarlarında, “Rezervasyon - rezervasyon listesini dışa aktar” ve PII veri çıkarma erişimini bu izinlere ihtiyaç duymayan rollerden kaldır.
5. Alan adı beyaz listenizi yapılandır — Cloudbeds Destek ile iletişime geç ve onaylanmış Guest Experience alan adı beyaz listenizi yapılandırarak hesabından misafir iletişimlerinde hangi URL’lerin kullanılabileceğini sınırla.
6. Personelini eğit — Tüm kullanıcıların kimlik bilgilerini girmeden önce https://signin.cloudbeds.com adresinde olduklarını doğruladığından ve e-posta veya arama motoru reklamları yoluyla gelen bağlantılar üzerinden asla giriş yapmadığından emin ol.

Başka hangi saldırılara dikkat etmeliyim?

Bazı müşteriler, Cloudbeds veya diğer konaklama platformlarını taklit etmeye çalışan bilinmeyen göndericilerden şüpheli veya zararlı e-postalar aldıklarını bildirdi. Cloudbeds hesabında olağandışı bir etkinlik fark edersen, beklenmedik veya şüpheli mesajlar için e-posta gelen kutunu da kontrol etmeni öneririz.

Phishing e-postaları alırsan, bunları support@cloudbeds.com adresine “Phishing” konu başlığıyla ilet ki ekibimiz inceleyip zararlı alan adlarını engellesin.

Misafirler, tesisinizi taklit eden dolandırıcılar tarafından WhatsApp veya diğer kanallar aracılığıyla sahte mesajlar alabilir. Tesisinizin asla WhatsApp veya dış bağlantılar yoluyla ödeme doğrulaması, kart bilgileri veya acil ödeme talebinde bulunmayacağını misafirlerinize önceden bildirmenizi öneririz.

Endişe verici bir durumla karşılaşırsanız, derhal Cloudbeds destek (support@cloudbeds.com) ile iletişime geçin.

Ek: İhlal Göstergeleri (IOC’ler)

(İsteğe bağlı — teknik veya güvenlik ekipleri olan müşteriler için)

Şüpheli faaliyetleri mümkün olduğunca engellemek veya izlemek için bunları kullanın. İlgili bulguları Cloudbeds destek ekibine bildirin.

Bilinen Phishing E-posta Adresleri

Aşağıdaki e-posta adresleri, Cloudbeds müşterilerini ve misafirlerini hedef alan phishing e-postalarının kaynakları olarak tespit edilmiştir:

1. contato@10138743.brevosend.com
2. support@kokazia.freshdesk.com
3. amatolucia@outlook.com

Phishing URL’leri / Zararlı Alan Adları

Cloudbeds müşterilerini hedef alan phishing kampanyalarında kullanılan bilinen zararlı alan adları. Yeni URL’ler sık sık ortaya çıkmaktadır; bu liste 5 Şubat 2026 tarihi itibarıyla günceldir:

1. kokazia[.]freshdesk[.]com
2. 10138743[.]brevosend[.]com
3. terralsuites[.]com[.]ar

Bilinen Zararlı IP Adresleri

Aşağıdaki IP adresleri, hesap ihlali olaylarında saldırgan altyapısı olarak doğrulanmıştır:

1. 92.243.64.222
2. 51.195.242.229

WhatsApp Dolandırıcılığı Göstergeleri

Misafirler, tesisinizi taklit eden bilinmeyen numaralardan WhatsApp mesajları alabilir ve acil ödeme talebinde bulunabilir. Yaygın özellikler şunlardır:

1. Dış ödeme bağlantısı aracılığıyla “rezervasyonunu onayla” talebi
2. Hemen harekete geçme baskısı veya iptal riski
3. Tesisinize veya Cloudbeds’e ait olmayan alan adlarına yönlendiren bağlantılar

Misafir Dolandırıcılığında Kullanılan Bilinen Sahte Alan Adları

Aşağıdaki alan adları, misafirleri hedef alan sahte iletişimlerde kullanılmıştır:

1. hxxp://cloudbeds-property-manager-signon.bolt.host
2. hxxp://cloudbeds-online.com
3. hxxp://ddk.joinposter.com
4. hxxp://cloudbeds-property-manager-signon.bolt.host
5. hxxp://corona-doner.joinposter.com
6. hxxp://signin.clauldbeds.com
7. hxxp://cloud-beds.app/
8. hxxp://cloudbeds-app.com/