Българският хотелски и туристически сектор е сред най-натоварените и динамични индустрии – резервации, анулации, плащания и комуникация с международни платформи като Booking.com се случват ежедневно, често под силен времеви натиск. Именно тази реалност превръща сектора в идеална мишена за нова вълна от социално инженерство, позната като ClickFix.

Най-новата кампания, наблюдавана в Европа, използва фалшив Windows „син екран“ (BSOD), за да подмами служители сами да инсталират зловреден код на служебните си компютри – без нужда от класически експлойт или уязвимост.

Как изглежда атаката на практика

Атаката започва с фишинг имейл, който изглежда като легитимно съобщение за анулация на резервация от Booking.com.
Обикновено:

• анулацията е на висока стойност,

• създава се усещане за спешност и финансов риск,

• имейлът е адресиран към рецепция, резервационен отдел или администрация.

При кликване върху линка жертвата попада на перфектно копие на Booking.com, визуално неразличимо за нетренирано око. След кратко „зареждане“ се появява съобщение за грешка, което подканва потребителя да „оправи проблема“.

Фалшив BSOD и моментът на манипулация

След натискане на бутона браузърът влиза в пълен екран и показва убедително имитиран Windows Blue Screen of Death.
На екрана има инструкции, които твърдят, че системата е блокирала и изисква ръчно действие:

• отваряне на Run (Win + R),

• поставяне на команда (CTRL + V),

• потвърждение с Enter.

Критичен момент: реалните BSOD екрани никога не дават инструкции за въвеждане на команди. Именно тук атаката разчита на стрес, липса на ИТ подкрепа и желание „проблемът да се оправи бързо“.

Какво се случва във фонов режим

След изпълнение на командата:

• стартира PowerShell процес,

• изтегля се зловреден .NET проект,

• кодът се компилира с легитимен Windows инструмент (MSBuild.exe),

• заобикалят се защити на Windows Defender,

• установява се постоянен достъп до системата.

Крайният резултат е инсталиране на DCRAT – троянски кон за отдалечен достъп, който позволява:

• пълен контрол над компютъра,

• кражба на данни,

• разпространение в мрежата,

• инсталиране на допълнителен зловреден софтуер (например криптомайнъри).

Защо това е особено опасно за българските хотели

В много български хотели и туристически обекти:

• рецепцията работи с един и същ компютър за резервации, имейл и счетоводство,

• няма постоянен ИТ екип на място,

• служителите често са сезонни или с ограничено обучение по киберсигурност.

Една компрометирана машина може да даде достъп до:

• резервационни системи,

• лични данни на гости,

• вътрешна кореспонденция,

• счетоводна и платежна информация.

Какво трябва да направят хотелите и туристическите фирми още сега

Практически и реалистични мерки за сектора:

• Ясно правило: никой служител не изпълнява команди по инструкции от уебсайт или имейл.

• Обучение на рецепция и резервации – разпознаване на фалшиви анулации и спешни имейли.

• Ограничени права – рецепционните компютри не трябва да имат администраторски достъп.

• EDR/EPDR защита с поведенчески анализ, не само антивирус.

• MSSP или CISO като услуга, особено за средни и големи обекти без собствен ИТ екип.

Tехнологиите не са проблемът, доверието е

ClickFix кампаниите не пробиват системи – те пробиват хора.
В хотелския и туристическия сектор, където гостът и обслужването са приоритет, именно човешкият фактор остава най-уязвимата точка.

Инвестицията в базова киберосъзнатост и професионална защита вече не е „добра практика“, а необходимост за оцеляване и репутация.