Bạn có bao giờ tự hỏi vì sao số vụ lừa đảo trên mạng lại tăng một cách đáng báo động? Đúng vậy, những tội phạm mạng này chưa bao giờ biến mất, mà ngược lại, chúng ngày càng tinh vi hơn, đặc biệt khi được “tiếp sức” bởi Trí tuệ nhân tạo (AI) và công nghệ deepfake. Ngay cả những chuyên gia an ninh mạng dày dạn kinh nghiệm đôi khi vẫn khó nhận ra các hình thức lừa đảo mới này.
Trong số các ngành nghề chịu ảnh hưởng nặng nề nhất, khách sạn là một trong những “miếng mồi béo bở” của các cuộc tấn công mạng. Vì sao các doanh nghiệp này lại rơi vào tình thế đáng lo ngại đến vậy? Và làm thế nào để các khách sạn có thể tự bảo vệ mình trước làn sóng lừa đảo ngày càng tinh vi?
Cơn bùng phát đáng báo động của các vụ lừa đảo mạng (phishing)
Chỉ riêng nửa cuối năm 2024, tổng số email lừa đảo trên toàn cầu đã tăng tới 202%. Đáng sợ hơn, các cuộc tấn công nhằm đánh cắp thông tin đăng nhập (credential phishing) đã tăng tới 703%, theo Báo cáo Tình báo Phishing năm 2024 của SlashNext. [1]
Theo báo cáo thường niên năm 2025 của Cybersecurity Ventures, thiệt hại gây ra bởi tội phạm mạng toàn thế giới trong năm nay ước tính lên tới 10,5 nghìn tỷ USD – nếu coi đây là GDP của một quốc gia, con số này sẽ xếp thứ ba thế giới. Và tình hình này vẫn chưa dừng lại; dự kiến đến năm 2031, thiệt hại toàn cầu sẽ tiếp tục tăng ở mức 2,5% hàng năm, tương đương hơn 12 nghìn tỷ USD thiệt hại mỗi năm. [2]
Vậy lừa đảo trực tuyến, hay “phishing” là gì? Hãy tìm hiểu và trang bị cách nhận biết sớm dấu hiệu lừa đảo qua những bài viết sau:
“Deepfake CFO” – Khi giọng nói là thật, nhưng mệnh lệnh là giả
Phishing (tấn công giả mạo) là gì & Những gì bạn cần biết về Phishing
Thực trạng trong ngành khách sạn
Khoảng 60% các mối đe dọa trực tuyến trong ngành khách sạn xuất phát từ lỗ hổng an ninh từ các thiết bị, như hệ thống POS dùng trong thanh toán hay thiết bị có kết nối IoT [3]. Những công nghệ liên kết nhiều thiết bị mang lại sự tiện lợi và hiệu quả vận hành cao, nhưng chính đặc thù này là nguyên nhân khiến doanh nghiệp khách sạn dễ trở thành mục tiêu hàng đầu của của những vụ lừa đảo.
Gần một phần ba khách sạn trên thế giới đã từng bị lộ thông tin, với thiệt hại trung bình khoảng 3,4 triệu USD (theo Trustware, 4). Một số ví dụ điển hình gồm:
– MGM Resorts (Las Vegas): Một cuộc tấn công mạng đã khiến toàn bộ hệ thống của MGM tê liệt suốt hai tuần, gây thiệt hại ước tính khoảng 100 triệu USD. [5]
– Motel One Group (Munich): Sự cố lộ thông tin khiến gần 25 triệu tệp tin bị đánh cắp, bao gồm tất cả các thông tin đặt phòng của khách hàng trong khoảng thời gian 3 năm. [6]
Và gần đây nhất là vụ giả mạo Booking.com.
Vụ lừa đảo giả mạo Booking.com
Theo Microsoft Threat Intelligence, một chiến dịch lừa đảo quy mô lớn trong đó, kẻ xấu đã giả danh trang web Booking.com để gửi email đến các khách sạn [7]. Nội dung các email rất thuyết phục: từ phản hồi tiêu cực của khách hàng đến yêu cầu xác minh tài khoản, khiến nhân viên khách sạn tin rằng đó là những thông tin thật và vô tình nhấp vào đường dẫn chứa mã độc.
Chiến dịch này đã lan rộng toàn cầu, từ Bắc Mỹ đến châu Á, châu Âu và châu Đại Dương. Đối tượng nhắm tới là nhân viên khách sạn tại các khu vực trên – những người có khả năng thường xuyên làm việc với Booking.com.
Dưới đây là một số ví dụ về email lừa đảo mà các khách sạn từng nhận được:
Hình 1: Email giả mạo một khách hàng tiềm năng, được gửi đến bộ phận lễ tân của khách sạn. (Nguồn: Microsoft)
Hình 2: Email giả danh Booking.com, yêu cầu nhân viên khách sạn xử lý phản hồi tiêu cực của khách hàng. (Nguồn: Microsoft)
Đọc thêm: Cá nhân hóa hay Lợi nhuận: Khách sạn của bạn có cần sự đánh đổi?
Vì sao các doanh nghiệp khách sạn dễ trở thành nạn nhân?
Suy cho cùng, những chiêu trò lừa đảo khai thác chính bản chất con người chúng ta: sự hiếu khách và tò mò. Nhân viên khách sạn luôn được kỳ vọng sẽ đặt khách hàng lên hàng đầu và phản hồi mọi thắc mắc thật nhanh chóng. Vì thế, khi nhận được một email trông có vẻ hợp lý và khẩn cấp, họ thường vội tìm cách giải quyết ngay, thay vì dừng lại để kiểm tra tính xác thực.
Chiêu thức này gọi là “tấn công phi kỹ thuật” (social engineering) – lợi dụng tâm lý con người để đạt mục đích lừa đảo.
Ngoài ra, các yếu tố kỹ thuật cũng góp phần khiến các khách sạn trở thành mục tiêu hấp dẫn:
– Mạng Wifi công cộng hoặc bảo mật yếu, dễ bị hacker xâm nhập.
– Hệ thống IT, POS hoặc quản lý khách sạn (PMS) lỗi thời, không được cập nhật bản vá bảo mật mới.
– Thiết bị IoT (khóa thông minh, hệ thống điều hòa, v.v.) thường không có giao thức bảo mật chặt chẽ.
Đọc thêm: Zero Trust – Đừng Tin Ai, Kể Cả Chính Bạn Khi Thiết Lập An Ninh Cho SaaS
Không chỉ dừng lại ở đó, các nguyên nhân phổ biến khác gồm:
– Tỷ lệ nhân sự thay đổi cao, khiến việc đào tạo an ninh mạng không được duy trì đều đặn.
– Phụ thuộc nhiều vào email khi liên lạc với khách hàng, nhà cung cấp và đối tác.
– Lỗ hổng từ bên thứ ba, như nhà cung cấp phần mềm hay hệ thống thanh toán, có thể lan truyền và ảnh hưởng toàn bộ mạng lưới.
Ngành khách sạn vẫn sẽ tiếp tục là “mỏ vàng” cho tin tặc, bởi họ luôn ưu tiên trải nghiệm và sự tiện lợi của khách hàng. Tuy nhiên, doanh nghiệp hoàn toàn có thể nâng cao khả năng phòng vệ, bắt đầu từ việc đào tạo nhận thức an ninh mạng cho nhân viên và loại bỏ các “mắt xích yếu”.
Làm sao để bảo vệ khách sạn của bạn trước những cuộc tấn công?
Bước đầu tiên để phòng vệ hiệu quả chính là nhận thức. “Bạn không thể bảo vệ những gì mà chính mình còn chưa nắm rõ” – từ tài sản, dữ liệu cho đến các hệ thống mà khách sạn đang vận hành. Hiểu rõ mình đang sở hữu những gì và mức độ quan trọng của chúng là điều tiên quyết trước khi triển khai bất kỳ biện pháp bảo mật nào.
Nâng cao nhận thức cho nhân viên
Không chỉ ban lãnh đạo mà cả đội ngũ nhân viên – tuyến phòng thủ đầu tiên, những người thường xuyên đối mặt trực tiếp với các chiêu trò lừa đảo – cần được trang bị đầy đủ kiến thức. Để nhận diện và phân biệt các hành vi lừa đảo, khách sạn cần một đội ngũ hiểu biết và luôn cảnh giác.
– Cần thường xuyên tổ chức các khóa đào tạo an ninh mạng để giúp nhân viên (cả mới và cũ) cập nhật các chiêu thức lừa đảo mới nhất và biết cách nhận diện những dấu hiệu đáng ngờ.
– Thực hiện diễn tập định kỳ để kiểm tra nhận thức và củng cố đào tạo cho nhân viên. Có thể lồng ghép các tình huống cần cảnh giác như email khẩn giả mạo, đường dẫn lạ hoặc tệp đính kèm đáng ngờ.
– Những cuộc tấn công này là không thể tránh khỏi, điều quan trọng là cách đội ngũ nhân viên đối mặt và xử lý vấn đề. Các khách sạn cần có một quy trình báo cáo đơn giản và được chuẩn hóa để nhân viên làm theo khi họ nghi ngờ có mối đe dọa:
+ Cần chỉ định rõ phòng ban tiếp nhận báo cáo (ví dụ: phòng IT hoặc quản lý).
+ Thiết lập một kênh chuyên biệt để nhận báo cáo: nhân viên có thể gửi báo cáo đến một địa chỉ email cụ thể hoặc trong một hệ thống tin nhắn nội bộ.
+ Khuyến khích báo cáo ngay lập tức, kể cả khi chưa chắc chắn về độ xác thực của thông tin.
Tăng cường hệ thống phòng thủ trước những mối nguy
Cần ngăn chặn nguy cơ rò rỉ dữ liệu xuất phát từ những lỗ hổng trong hệ thống quản lý khách sạn (PMS) và POS cũ, lỗi thời, vốn đã khó cập nhật các quy định về báo cáo và bảo mật mới nhất. Khách sạn không thể dựa vào những hệ thống cũ kỹ này để cảnh báo kịp thời cho lễ tân về các nguy cơ tấn công đang ngày càng tinh vi.
Các giải pháp PMS và POS hiện đại hiện đã tích hợp sẵn tính năng bảo mật và ẩn danh dữ liệu theo tiêu chuẩn GDPR hoặc USALI, giúp bảo vệ thông tin cá nhân của khách hàng và doanh nghiệp.
Bên cạnh đó, chuyển đổi sang giải pháp nền tảngđám mây (cloud) là hướng đi an toàn và chiến lược hơn. Khách sạn có thể tận dụng giải pháp bảo mật và khôi phục dữ liệu tiên tiến từ các nhà cung cấp uy tín, tuy nhiên cần đánh giá kỹ lưỡng trước khi lựa chọn đối tác đồng hành.
Dù hệ thống có tốt đến đâu, yếu tố con người vẫn là mắt xích dễ tổn thương nhất. Do đó, việc nâng cao nhận thức cho đội ngũ nhân viên chính là chìa khóa giúp giảm thiểu rủi ro từ các chiêu thức lừa đảo lợi dụng lòng tin của con người.
Cuối cùng, bên cạnh việc bảo vệ hệ thống nội bộ, các khách sạn cũng cần hướng dẫn khách hàng về an toàn và bảo mật, nhằm củng cố trách nhiệm chung trong việc vận hành môi trường kỹ thuật số an toàn.
TRG International cung cấp các giải pháp giúp doanh nghiệp khách sạn xây dựng hệ thống bảo mật vững chắc và vận hành hiệu quả hơn. Nếu bạn quan tâm đến giải pháp điện toán đám mây giúp nâng cấp hoạt động vận hành của doanh nghiệp, hãy liên hệ với chúng tôi để được tư vấn thêm.
Nguồn:
1. https://www.infosecurity-magazine.com/news/2024-phishing-attacks-double/
2. https://cybersecurityventures.com/official-cybercrime-report-2025/
3. https://discover.hotelbeds.com/resources/insight/cybersecurity-hotels
4. https://cybermagazine.com/articles/trustwave-report-on-hospitality-industry-security-threats
5. https://www.nbcnews.com/business/business-news/cyberattack-cost-mgm-resorts-100-million-las-vegas-company-says-rcna119138
6. https://www.motel-one.com/en/services/faqs-hacker-attack-motel-one-group/
7. https://www.microsoft.com/en-us/security/blog/2025/03/13/phishing-campaign-impersonates-booking-com-delivers-a-suite-of-credential-stealing-malware/
