Die Wahrheit über Sicherheitslücken in Hotels

Einführung in die Sicherheit im Gastgewerbe Hallo zusammen. Diese Woche in Matt Talks, Folge elf, möchte ich über Sicherheit sprechen. Sicherheit gehört nicht zu den Themen, die viele Menschen begeistern. Leider ist dies nicht das aufregendste neue KI Feature. Hier geht es wirklich um den Schutz deiner Daten im Hotel. Und leider sehen wir eine erhöhte Anzahl von Angriffen auf Cloud-Systeme, wo traditionell die meisten, die meisten Legacy-Plattformen für wirklich erhöhte Angriffe, und du würdest diese Pressemitteilungen sehen, in denen Millionen von Konten mit vielen unverschlüsselten Kreditkartendaten gestohlen wurden. Es ist viel schwieriger, weil ein großer Teil der Industrie in die Cloud wechselt und die Vorteile erkennt. Die Angriffe sind zwar viel kleiner, aber die Zahl der Angriffe nimmt zu, weil die Mitarbeiter jetzt psychologisch dazu gebracht werden, ihre Qualifikationen preiszugeben. Dadurch laden sie Daten herunter und nehmen Kontakt zu deinen Gästen auf. Es ist also ein ziemlich fortschrittliches Modell, im Gegensatz zu dem, was sie früher gemacht haben. In diesem Matt Talks möchte ich zunächst im Detail darauf eingehen, was Phishing ist, wie es heute gemacht wird, was du dagegen tun kannst und schließlich, was wir als Firma dagegen tun. Kapitel Was ist Phishing und wen betrifft es? Fangen wir also mit Phishing an. Wenn du auf "We're Phishing" stößt, denkst du wahrscheinlich: "Oh, das ist eine E-Mail von einem Prinzen aus einem fernen Land, in der steht, dass du einen Preis gewonnen hast. Aber das geht weit über die E-Mail-Kampagne hinaus, in der es heißt: "Überprüfe dein Konto, klicke auf diesen Button, und dann loggst du dich ein und hast deine Qualifikationen weitergegeben. Das geht wirklich viel weiter als diese traditionellen Kampagnen, und diese Kriminellen sind unglaublich clever darin, deine Mitarbeiter psychologisch auszutricksen. Auf wen wirkt sich das also aus? Zunächst einmal sehen wir dies in der gesamten Branche, in Property Management Systemen, zentralen Reservierungssystemen, Kundenbeziehungsmanagement-Systemen, in allem, was wertvolle Informationen über die Gäste enthält. Und sie suchen nach E-Mail-Adressen, Telefonnummern und Namen der Gäste sowie nach Daten zur Reservierung. Sie versuchen also, genug Daten zu bekommen, um deinen Gast zu kontaktieren und zu sagen: "Hey, Mr. Smith. Du hast eine Reservierung für den fünften August im Hotel ABC. Leider hat deine Kreditkarte versagt. Klicke auf diesen Link, um deine Kreditkarte erneut einzureichen. Das führt sie dann zu einem Google-Formular oder einem dieser Webformulare. Und dann geben die Gäste ihre ganz persönlichen Qualifikationen für die Kreditkarte an, denn das klingt ziemlich gültig. Du bekommst zum Beispiel eine E-Mail und sie wissen alles über deine Reservierung in einem Hotel. Und leider fallen viele, viele, viele Gäste darauf herein. Das passiert also in den meisten Branchen, aber in den letzten Monaten haben wir besonders viele Angriffe im Gastgewerbe erlebt. Und sie haben es auf Hoteliers abgesehen, weil sie wissen, dass wir all diese sehr persönlichen Daten haben. Und Menschen, die auf Reisen sind, sind es gewohnt, ihre Kreditkarten-Qualifikationen auf verschiedene, manchmal unverschlüsselte Weise zu übermitteln, weil wir seit vielen, vielen Jahren Altsysteme haben. Kapitel Wie Phishing funktioniert, mit Beispielen Auf der nächsten Folie werde ich darüber sprechen, wie sie ins System gelangen, denn das ist ein wirklich wichtiger Schritt, damit ihr euch davor schützen könnt. Die Kosten für diese Angriffe sind beträchtlich, denn sie loggen sich in dein System ein, laden alle Daten der Gäste herunter und beginnen dann, deine Gäste direkt zu kontaktieren und die Kreditkarten der Gäste abzubuchen. Und das spüren natürlich auch die Gäste. Und während sie wahrscheinlich Rückbuchungen vornehmen können, können sie ihre Banken bitten, die Abbuchungen abzulehnen. Das schadet dem Ruf deines Hotels enorm, denn die Leute sagen: "Diesem Hotel kann ich nicht trauen. Ich habe ihnen meine Daten gegeben. Und dann haben sie die Qualifikationen ihrer Mitarbeiter an diese Kriminellen weitergegeben, die jetzt meine persönlichen Daten benutzen. Wir kämpfen also gegen einen Imageschaden an. Und die Art und Weise, wie sie sich Zugang zu den Qualifikationen verschaffen, die Art und Weise, wie sie deine Mitarbeiter austricksen, ändert sich ständig. Und sie sind wirklich sehr, sehr gut, und es ist sehr schwer zu erkennen. Das wollte ich dir einfach zeigen. Das ist also eine Möglichkeit, wie sie dich derzeit ansprechen können. Du siehst also, dass deine Mitarbeiter sagen: "Hey! Ich suche nach einem Mews Login. Das bringt sie zu dem gesponserten Link, und lass mich dort kurz innehalten. Sorry. Was du siehst, ist dieser gesponserte Link, auf dem app dot mews dot com steht. Google erlaubt diesen Werbetreibenden, die sie als gültige Werbetreibende bezeichnen. Wir haben Google mehrmals kontaktiert und gefragt: "Könnt ihr sie abschalten? Dies sind keine gültigen Werbeträger. Aber weil sie Geld für Google ausgeben, will Google sie schützen. Es ist absolut verrückt. Du siehst, dass alles genau wie Mews aussieht. Aber was passiert, wenn du auf diesen Link klickst? Wenn du darauf klickst, wirst du zu einer anderen URL weitergeleitet, die fast genauso aussieht. Die ganze Seite wurde von der Anmeldeseite kopiert und führt dich dann zu app dot mewaes dot com, einer leicht veränderten URL. Die meisten Leute haben das nicht und melden sich dann mit ihrem Benutzernamen, ihren Qualifikationen und sogar mit Zwei-Faktor-Authentifizierungscodes an, die sie jetzt rüberkopieren. Selbst bei der Zwei-Faktor-Authentifizierung bist du also nicht hundertprozentig sicher, wenn du nicht die magischen Links verwendest. Und so loggen sie sich in das System ein. Der erste Schritt besteht also darin, dass sie sich die Qualifikationen deines Mitarbeiters besorgen. Sie melden sich mit diesen Qualifikationen an. Sie werden einen neuen Benutzer anlegen. Und mit dem neuen Benutzerkonto wird dann die Zwei-Faktor-Authentifizierung für dieses Konto aktiviert. Und dann fangen sie an, Gastdateien und -daten herunterzuladen, weil leider einer deiner Mitarbeiter auf einer öffentlichen Website wie Google dot com auf ihre Tricks hereingefallen ist, und dann fangen sie an, deine Kunden ins Visier zu nehmen. Es handelt sich also um einen mehrstufigen Angriff, aber alles beginnt damit, dass deine Mitarbeiter ihre Qualifikationen bereitwillig weitergeben. Wir sehen also auch diese Webseiten, hunderte von verschiedenen URLs. Hier siehst du zum Beispiel, dass es app dot r n e w s heißt. Es sieht fast wie ein M aus, also musst du wirklich gut darin sein, es zu erkennen. Eines der Dinge, die wir ihnen beibringen, ist natürlich, dass sie die URL der Anmeldeseite direkt auf ihrem Computer bookmarken, damit sie nicht googeln müssen. Du solltest deine Mitarbeiter niemals Anmeldeseiten zu Online Services googeln lassen, die du hast, egal welche Online Services du hast, und niemals auf den gesponserten Link klicken. Der gesponserte Link ist der Ort, an dem der größte Schaden entsteht. Es geht also auch um mehr als nur eine E-Mail. Richtig? Früher hast du eine E-Mail bekommen, in der stand, dass du auf diese Schaltfläche klicken musst, um deine Qualifikationen anzugeben. Wir sehen jetzt Voice-Phishing. Sie könnten also deine Gäste anrufen und sagen: "Herr Jones, Sie haben diese Reservierung. Kannst du das bitte überprüfen? Und die Stimme ist wirklich gut, und sie nutzen jetzt KI, um mit deinen Gästen zu sprechen und ihnen diese Qualifikationen zu übergeben. SMS-Phishing, weil sie ihre Telefonnummer aus deiner Gast-Datenbank haben. Und mit einer E-Mail haben wir unsere Mitarbeiter darauf trainiert, Dinge zu erkennen, die verdächtig aussehen. Aber bei SMS kannst du nicht sehen. Das ist nur eine SMS, die du von einer zufälligen Nummer bekommst. Sie kennen alle Daten der Reservierung, so dass die Gäste darauf hereinfallen. Und sie greifen deine Gäste und deine Teammitglieder über mehrere Vektoren an. Kapitel Wie du deine Teams und Gäste schützen kannst Lass uns also darüber reden, wie wir uns selbst schützen können, denn das ist wirklich wichtig. Erstens müssen wir unseren Mitarbeitern beibringen, niemals Buchungssysteme für die Suche nach Login-Seiten zu verwenden. Diese Anmeldeseiten sollten oben auf deiner Seite für alle Services, die du derzeit in deinen Hotels nutzt, als Lesezeichen abgelegt werden. Jedes Mal, wenn du googelst, sollte die URL überprüft werden. Wenn sie darauf bestehen, Google zu benutzen, um die Qualifikationen zu finden, musst du deinen Mitarbeitern beibringen, die Anmelde-URL zu überprüfen oder sicherzustellen, dass sie niemals auf die gesponserten Links klicken. Eine Möglichkeit, um sich einigermaßen zu schützen, ist die Zwei-Faktor-Authentifizierung. Nachdem du dich also mit deiner E-Mail-Adresse und deinem Passwort angemeldet hast, wird dir ein Code über eine Authentifizierungs-App oder per E-Mail zugeschickt, den du dann zum Einchecken verwendest. Wir haben unsere E-Mails bereits auf magische Links umgestellt, denn dann loggst du dich nicht mehr auf der Seite ein, auf der du gerade bist, sondern du bekommst eine E-Mail und musst auf den Link in der E-Mail klicken, um dich einzuloggen. Damit umgehst du die Phishing-Versuche, die wir derzeit beobachten. Wenn du jedoch den Code hast, den du in der Authentifizierungs-App bekommst, sind diese Codes oft nur zehn oder fünfzehn Sekunden lang gültig. Wenn du diese in die gefälschte Website einfügst, sitzen die Phishing-Kriminellen in einer Kopie deiner Website und kopieren sie sofort. Sie können sich also immer noch einloggen, wenn du nicht sorgfältig bist. Also zwei FA ist wirklich gut, und wir haben das jetzt in hundert Prozent unserer Hotels durchgesetzt. Sie benutzen es immer noch, um sich Zugang zu verschaffen. Verwende immer nur ein Login pro Person. Gib niemals Passwörter in den Hotels weiter und stelle sicher, dass du einen Passwort Manager verwendest, damit jeder Service ein eigenes Login hat. Du solltest also nie dasselbe Passwort für ein und denselben Service verwenden, vor allem nicht für dein Postfach, denn dein E-Mail-Postfach wird oft als eine Art Master-Domain eingerichtet, an die alle deine anderen Services ihre Qualifikationen senden. Wenn du also versuchst, dich bei einem Service anzumelden und es heißt: "Ich habe mein Passwort vergessen", gibst du einfach deine E-Mail-Adresse ein und bekommst die E-Mail zugeschickt. Wenn also das Passwort deines E-Mail-Kontos dasselbe ist wie das von Mews, hast du es den Kriminellen viel leichter gemacht, dich anzugreifen. Sieben, ist, dass du sichere Passwörter benötigen musst. Es sollten also keine Wörter sein, an die du dich erinnerst oder die du wiedererkennst, denn die können ganz leicht umformatiert werden. Verwende einen Passwort Manager, um dir diese sicheren Passwörter zu geben. 8. Du musst dein Team trainieren. Das ist ein Training, das regelmäßig stattfinden muss, denn sie werden vergessen, dass sie nicht fleißig sind. Und wenn es nicht ihre Daten sind, macht ihnen das auch nichts aus. Was ist das Schlimmste, was ihnen passieren kann, wenn ihre Qualifikationen durchsickern? Aber leider kann es für dich als Anbieter schwerwiegend sein und vor allem auch für die Gäste. Wenn du neue Vektoren entdeckst, wenn du neue Arten von Angriffen entdeckst, dann teile sie mit unserer Community, mit deiner Community, denn wir müssen uns gegenseitig unterrichten. Und zu guter Letzt: Sei immer auf der Hut. Wenn du im Internet bist und Dinge googelst, vertraue nicht blindlings auf alles, denn leider gibt es da draußen jede Menge Kriminelle, die versuchen, dich anzugreifen. Wenn ich etwas sagen würde, würde ich sagen: Mach einen Screenshot von dieser Seite, protokolliere das, drucke es für deine Teams aus und lege es an der Rezeption aus, damit sie sich wirklich daran erinnern. Stelle sicher, dass dies im Einstellungshandbuch steht, damit du diese Dinge immer wieder wiederholst, wenn neue Mitarbeiter hinzukommen, denn sie sind wirklich sehr wichtig. Was Kapitel Was machen wir auf Mews machen wir auf Mews? Denn wir sind rund um die Uhr im Einsatz, um deine Teammitglieder, deine Gäste und ihre Daten zu schützen. Wir führen also eine Reihe von Autorisierungen auf Geräteebene durch. Wenn du dich also einloggst, überprüfen wir, ob es sich um einen Menschen handelt. Wir haben dieses Kästchen jetzt hinzugefügt. Wenn wir das Gerät erkennen, d.h. wenn ich erkenne, dass der Computer, an dem ich mich gerade befinde, heute eingeloggt ist, werden wir sagen: Hey. Das ist sicher. Aber wenn du dich mit einem neuen Gerät anmeldest, bekommst du eine E-Mail von uns, in der steht: Hey. Von Amsterdam aus, wo ich heute sitze, wurde ein neues Protokoll erstellt. Bist du das? So kannst du feststellen, ob sich jemand auf deinem Konto angemeldet hat. Und wenn dir das irgendwie verdächtig vorkommt, dann stelle sicher, dass du Alarm schlägst und deinen Verwalter in deinem Hotel kontaktierst und sicherstellst, dass du deine Konten zurücksetzt. Wir investieren viel in erfahrene Sicherheitsingenieure. Sie arbeiten schon seit Monaten rund um die Uhr daran, neue Wege zu finden, wie wir uns schützen können. Wir schulen alle unsere Teammitglieder regelmäßig intern. Wir sprechen darüber in unseren All-Hands-Meetings und stellen sicher, dass jeder, der mit den Kunden, mit dir, spricht, von uns aufgeklärt wird. Und wir sorgen dafür, dass jede Codezeile, die wir in das System einfügen, an die Sicherheit denkt. Und die meisten unserer Software-Ingenieure sind komplett auf Sicherheit geschult. Wir setzen Firmen ein, um die Arbeit, die wir machen, ständig zu bewerten. Und ich würde empfehlen, dass du dir überlegst: Okay, wie oft haben wir unser Team geschult und wie regelmäßig sollten wir das tun? Und stelle sicher, dass du dieses Training für deine Teammitglieder eingerichtet hast. Wenn Kapitel Du etwas aus diesem kurzen Video mitnimmst, dann ist es, dass du deinen Teams beibringst, niemals zu googeln. Verwende immer Lesezeichen. Google also niemals Anmeldeseiten. Verwende immer die Lesezeichen, die auf dem Computer registriert sind, und stelle sicher, dass deine Mitarbeiter alle Lesezeichen auf ihrem Desktop protokolliert haben, um ihnen zu helfen, denn das ist der Ort, wo alles passiert. Wir befinden uns in aktiven Gesprächen mit Google. Leider sind sie nicht hilfreich, aber wir werden weiter kämpfen und dafür sorgen, dass wir sie so stark wie möglich unter Druck setzen. Aber in der Zwischenzeit solltest du dafür sorgen, dass deine Teammitglieder niemals Login-Seiten googeln. Und wenn du jemals irgendwelche Bedenken hast, solltest du uns unbedingt kontaktieren. Wir haben ein siebenundzwanzigköpfiges Support-Team in Bereitschaft, um dich gegen diese Angriffe zu unterstützen. Aber das ist unerbittlich. Das passiert seit vielen Monaten und eskaliert immer weiter. Stelle sicher, dass du dich und deine verschiedenen Systeme schützt, denn das passiert in der ganzen Branche und in verschiedenen Systemen. Vielen Dank und einen sicheren Aufenthalt.