Отели Hilton разослали «фишинговые письма» своим гостям

Специалисты программы лояльности HHonors для постоянных гостей сети отелей Hilton наглядно продемонстрировали, как не следует общаться с клиентами в эпоху современных технологий и связанных с ними угроз. Менеджеры HHonors желали убедиться, что контактная информация клиентов является актуальной. И с этой целью разослали им сообщения электронной почты примерно следующего содержания: «Дорогой Джон! Мы хотели бы убедиться, что данные Вашей учетной записи являются актуальными. А потому просим Вас перейти по ссылке и подтвердить адрес электронной почты, номер телефона и почтовый адрес в настройках вашей учетной записи HHonors. С наилучшими пожеланиями, Hilton HHonors».

Не нужно быть экспертом по кибербезопасности, чтобы понять, что такого рода письма выглядят очевидной попыткой фишинга. Эта мысль пришла в голову и многим клиентам Hilton. Некоторые из них благоразумно связались с IT-службой сети отелей, чтобы проверить подлинность письма. Далее ситуация приняла совсем уж анекдотический вид. IT-специалисты Hilton не знали об инициативе коллег из HHonors. И даже не потрудились проверить – беглого взгляда на письмо им хватило, чтобы признать его фишинговым. Они ответили клиентам, что Hilton ничего подобного рассылать не может, и что переходить по ссылке в письме категорически не следует.

Недоразумение в итоге благополучно разрешилось, но специалисты по кибербезопасности поддержали сотрудников IT-службы Hilton и резко раскритиковали работу HHonors. По их мнению, подобные письма, рассылаемые крупными компаниями, сводят на нет все усилия по борьбе с фишингом и поощряют киберпреступников на новые атаки. Ведь они создают у пользователей впечатление, что сообщения от серьезных компаний действительно могут выглядеть подобным образом. Эксперты подчеркивают, что обращение компании к клиенту должно быть как минимум более персонализированным, не ограничиваясь именем клиента, узнать которое не составляет никакого труда. Кроме того сообщение должно содержать номер телефона, по которому клиент мог бы обратиться для проверки, если у него возникнут сомнения в подлинности письма. И этот номер, разумеется, должен совпадать с номером службы поддержки на официальном сайте компании.