มิจฉาชีพออนไลน์ได้พัฒนากลยุทธ์การหลอกลวงใหม่ที่ซับซ้อนยิ่งขึ้น โดยนำข้อมูลการจองห้องพักจริงของผู้ใช้บริการมาใช้ในการทำการโจมตีแบบ Spear-Phishing ข้อมูลเบื้องต้นเปิดเผยว่า มีข้อมูลลูกค้าจากโรงแรมกว่า 350 แห่งทั่วโลกถูกเข้าถึงโดยไม่ได้รับอนุญาต ซึ่งทำให้การหลอกลวงดูเหมือนเป็นจดหมายยืนยันการจองที่ถูกต้องและน่าเชื่อถืออย่างยิ่ง

กลไกของการหลอกลวงครั้งนี้เริ่มจากผู้โจมตีส่งอีเมลถึงเหยื่อโดยอ้างว่าเป็นจากโรงแรมที่พวกเขาจองไว้จริงๆ โดยอีเมลดังกล่าวจะมีรายละเอียดที่ถูกต้องตรงกับข้อเท็จจริง ไม่ว่าจะเป็นชื่อผู้เข้าพัก วันที่เช็คอิน-เช็คเอาท์ ชื่อโรงแรม และหมายเลขการจอง ภายในอีเมลมักจะมีลิงก์ที่ฉีกแยก (Malicious Link) ซ่อนอยู่ ซึ่งผู้โจมตีจะอ้างว่าให้คลิกเพื่ออัปเดตข้อมูลการชำระเงิน ยืนยันตัวตน หรือดาวน์โหลดใบเสร็จรับเงิน

การนำข้อมูลส่วนบุคคลที่ถูกต้องมาใช้ในการโจมตีทำให้การตรวจจับและป้องกันการหลอกลวงครั้งนี้ยากขึ้นมาก เนื่องจากผู้ใช้งานทั่วไปมักจะปล่อยให้ความระมัดระวังลดลงเมื่อเห็นข้อมูลที่ตรงกับสิ่งที่ตนได้ทำไว้ ดังนั้น ผู้เชี่ยวชาญด้านความปลอดภัยจึงแนะนำให้ผู้ใช้งานหลีกเลี่ยงการคลิกลิงก์โดยตรงจากอีเมล แต่ควรเข้าไปยังเว็บไซต์ของโรงแรมโดยตรงหรือใช้แอปพลิเคชันจองที่น่าเชื่อถือเพื่อตรวจสอบสถานะการจองแทน

คำศัพท์เทคนิคที่น่าสนใจ

• Spear-Phishing – การโจมตีหลอกลวงทางอีเมลที่มุ่งเป้าไปยังบุคคลหรือองค์กรเฉพาะเจาะจง โดยใช้ข้อมูลส่วนตัวที่ได้มาเพื่อสร้างความน่าเชื่อถือ
• Malicious Link – ลิงก์ที่ซ่อนอันตราย ซึ่งมักพบในอีเมลหลอกลวง โดยเมื่อผู้ใช้คลิกจะถูกนำไปสู่เว็บไซต์ปลอมหรือดาวน์โหลดมัลแวร์เข้าสู่อุปกรณ์
• Data Breach – การรั่วไหลของข้อมูล หรือการเข้าถึงข้อมูลที่ปลอดภัยโดยไม่ได้รับอนุญาต ซึ่งในกรณีนี้คือข้อมูลลูกค้าโรงแรม

🔗 แหล่งที่มา: https://www.wired.com/story/hundreds-of-hotels-caught-up-in-vacation-booking-scams/