Wenn man an Urlaub denkt, denkt man als Erstes an Entspannung. Man lässt den Alltagsstress hinter sich und möchte die freien Tage einfach nur geniessen. Leider ist man aber selbst im Urlaub nicht sicher vor Betrügern und es lohnt sich stets aufmerksam zu sein.
Die Gefahr des Social Engineering lauert auch an den schönsten Orten dieser Welt. Damit sich der nächste Urlaub nicht zum Albtraum entwickelt, möchten wir gerne die folgende Geschichte mit Ihnen teilen.
Was war vorgefallen?
Vor Kurzem wurden wir von einem Hotel kontaktiert, welches um eine Einschätzung zu einem Vorfall gebeten hat. Ein Gast war während seines Aufenthaltes Opfer eines Kreditkartenbetrugs geworden und das Hotel wollte sich absichern, dass es zu keiner Kompromittierung ihrer Systeme gekommen war. Die Angreifer machten sich eine ausgeklügelte und gleichzeitig einfache Betrugsmasche zu nutzen, welche auf einem Social-Engineering-Angriff des Room Services beruht, gefolgt von einem betrügerischen Anruf beim Gast selbst.
Alles begann mit einem Anruf beim Room Service. Dieser Anruf wurde von der Hauptnummer bereits weitergeleitet, da der Room Service nicht direkt von extern erreichbar ist. Der Anrufer gab sich als technischer Supportmitarbeiter einer Firma aus, die Kassensysteme für Hotels vertreibt. Interessant ist, dass es sich zwar um einen weitverbreiteten Anbieter in der Hotelbranche handelt, dieses besagte System aber in dem betroffenen Hotel nicht im Einsatz war. Der angebliche Supportmitarbeiter erkundigte sich nach offenen Buchungen im System (Bestellungen beim Room Service, welche noch nicht final abgerechnet wurden), um zu prüfen, ob technisch alles einwandfrei funktioniere. Laut Aussage der Ansprechpersonen des Hotels wurden keine vertraulichen Informationen herausgegeben, dies konnte aber nicht zweifelsfrei bestätigt werden.
Daraufhin kam es zu einem Anruf bei einem Gast direkt im Hotelzimmer. Der Anrufer gab sich als Room Service aus und sprach den Gast auf ein bestelltes Frühstück an. Angeblich gab es Probleme mit der hinterlegten Kreditkarte und der Gast wurde gebeten, erneut seine Kreditkarteninformationen zu teilen. Der Gast hat daraufhin gutgläubig am Telefon seine Kreditkarteninformationen herausgegeben. Als er einige Zeit später eine fremde Buchung aus dem Ausland von seiner Kreditkarte bemerkt hat, hat er sich an das Hotel gewandt und so kam der Vorfall ans Licht.
Einschätzung der Lage
Nach der ersten Schilderung des Vorfalls kommen theoretisch zwei Szenarien in Frage:
- Die Systeme des Hotels wurden kompromittiert. Der Angreifer hat Einsicht auf die Buchungsdaten und persönlichen Informationen der Gäste.
- Das Hotel wurde nicht kompromittiert. Die notwendigen Informationen für den Kreditkartenbetrug wurden durch Social Engineering, eventuell in Verbindung mit einer Open Source Intelligence (OSINT) Recherche, erlangt.
Aufgrund des Ablaufs scheint ein Social-Engineering-Angriff wahrscheinlicher. Falls ein Angreifer Zugriff auf die Systeme des Hotels hat, wäre ein Anruf beim Room Service vermutlich nicht notwendig, da die Daten vom Angreifer eingesehen werden könnten und es wären vermutlich auch mehrere Kunden betroffen gewesen. Zudem würde man bei einer Kompromittierung andere Angriffsszenarien vermuten, welche auch lukrativer wären, wie beispielsweise ein Datendiebstahl oder die Verschlüsselung von Daten mit anschliessender Erpressung. Um eine Kompromittierung zu 100% ausschliessen zu können, benötigt es eine tiefgehende forensischen Untersuchung. Hier sollte aber jeweils von Fall zu Fall abgewogen werden, ob der Aufwand einer solchen Analyse dem möglichen Nutzen gerecht wird.
Empfohlene Massnahmen
Da die Betrüger durch Telefonanrufe Kontakt mit dem Hotel und dem Gast aufgenommen haben, lohnt es sich, einen Blick in die Logdateien der Telefonanlage zu werfen. Somit kann identifiziert werden, woher diese Anrufe kamen und ob weiter Gäste betroffen waren, die allenfalls gewarnt werden können.
Eine weitere Sofortmassnahme, die bereits vom Hotel umgesetzt wurde, ist die Umleitung aller eingehenden Anrufe über die Hauptnummer. Dies kreiert eine weitere Barriere, die es zu umgehen gilt, bevor ein Gast dazu gebracht werden kann, Kreditkarteninformationen zu teilen. Die Mitarbeitenden der Rezeption können somit Anrufe vorab prüfen und den Gast beim Weiterleiten erste Informationen mitliefern. Dieses Prinzip der «Human Firewall» ist selbstverständlich nur effektiv, wenn die Mitarbeitenden zuvor durch eine Cyber-Security-Awareness-Schulung sensibilisiert wurden.
Auch wenn sich dieser Vorfall auf die Hotelbranche bezieht, ist ein ähnliches Vorgehen durchaus auch in anderen Bereichen denkbar. Die empfohlenen Massnahmen sind somit analog in anderen Betrieben im Dienstleistungsbereich anwendbar. Ist dies vielleicht Ihr nächstes Szenario für eine Tabletop-Übung?
Fazit
Betrüger lauern überall, auch an Orten, wo man nicht damit rechnet. Angreifer denken sich immer wieder neue Szenarien aus, wie sie ein mögliches Opfer dazu verleiten können, vertrauliche Informationen herauszugeben. Man kann sich nur davor schützen, indem man stets aufmerksam bleibt.
Haben Sie noch Fragen oder sind Sie an einem Cyber-Security-Awareness-Training interessiert? Weiterführende Informationen finden Sie hier: Security Academy. Wir freuen uns von Ihnen zu hören!
