De waarheid over gaten in de beveiliging van hotels

Inleiding tot beveiliging in hospitality Hallo allemaal. Deze week in Matt Talks, aflevering elf, wil ik het hebben over beveiliging. Beveiliging is niet een van die onderwerpen waar veel mensen enthousiast over zijn. Helaas is dit niet de meest opwindende nieuwe AI-functie. Dit gaat echt over het beschermen van je data in het hotel. En helaas zien we een verhoogd aantal aanvallen op cloud systemen waar traditioneel de meeste, meest legacy platforms voor echt verhoogde aanvallen, en je ziet deze persberichten met miljoenen gestolen accounts met veel onversleutelde creditcard data. Het is veel moeilijker omdat een groot deel van de sector overgaat op de cloud en de voordelen ervan inziet. Dus hoewel de aanvallen veel kleiner zijn, zien we een groter volume omdat ze nu je medewerkers psychologisch misleiden om hun inloggegevens te overhandigen. En daarmee downloaden ze data en nemen ze contact op met je gasten. Het is dus een behoorlijk geavanceerd model, in tegenstelling tot wat ze vroeger deden. Dus in deze Matt Talks wilde ik allereerst in detail ingaan op wat phishing is en hoe het vandaag de dag wordt gedaan, wat je eraan kunt doen en tot slot wat we er als bedrijf aan doen. Hoofdstuk Wat is phishing en op wie heeft het invloed? Laten we beginnen met phishing. Wanneer je op we're phishing drukt, denk je waarschijnlijk: oh, het is een e-mail van een prins in een ver land waarin staat dat je prijzengeld hebt gewonnen. Maar dit is veel verder gegaan dan alleen de e-mailcampagne met de boodschap: verifieer je account, klik op deze knop en dan log je in en heb je net je inloggegevens doorgegeven. Dit gaat echt veel verder dan die traditionele campagnes en deze criminelen zijn ongelooflijk slim in het psychologisch misleiden van je medewerkers. Dus op wie heeft het invloed? Allereerst zien we dit in de hele sector, bij property management systems, central reservation systems, CRM systemen, alles waar waardevolle gastinformatie in zit. En ze zijn op zoek naar e-mailadressen, telefoonnummers en namen van gasten en reserveringsnummers. Dus wat ze proberen te verkrijgen is, genoeg data om contact op te nemen met je gast en te zeggen, hé, meneer Smith. Je hebt een reservering op 5 augustus in hotel ABC. Helaas is je creditcard mislukt. Klik op deze link om je creditcard opnieuw in te dienen. En die brengt ze dan naar een Google-formulier of een van deze webformulieren. En dan geven gasten hun zeer persoonlijke creditcard referenties op omdat het vrij geldig klinkt. Alsof je een e-mail krijgt en ze al deze dingen weten over je reservering bij een hotel. En helaas trappen veel, heel veel gasten hierin. Dit gebeurt dus in de meeste sectoren, maar we zien de laatste maanden vooral verhoogde aanvallen in hospitality. En ze richten zich op hoteliers omdat ze weten dat we al deze zeer persoonlijke data hebben. En mensen die op reis zijn, zijn gewend om hun creditcardgegevens op verschillende, soms onversleutelde manieren door te geven vanwege alle bestaande systemen die we al vele, vele jaren hebben. Hoofdstuk Hoe phishing werkt, met voorbeelden Dus in de volgende dia zal ik het hebben over hoe ze binnenkomen, want dat is echt een belangrijke stap zodat je jezelf daartegen kunt beschermen. De kosten van deze aanvallen zijn hoog, want ze loggen in op je systeem, downloaden alle data van je gasten en beginnen dan direct contact op te nemen met je gasten en brengen deze creditcards van gasten in rekening. En de gasten voelen duidelijk de gevolgen. En hoewel ze waarschijnlijk chargebacks kunnen doen, kunnen ze hun banken vragen om de betalingen te weigeren. Je hotel loopt hierdoor enorme reputatieschade op omdat ze zoiets hebben van, nou, ik kan dit hotel duidelijk niet vertrouwen. Ik heb ze mijn data gegeven. En toen gaven ze inloggegevens van hun medewerkers weg aan deze criminelen en nu gebruiken ze mijn zeer persoonlijke data. We vechten dus tegen reputatieschade. En de manier waarop ze toegang krijgen tot de inloggegevens, de manier waarop ze je medewerkers misleiden verandert voortdurend. En ze zijn echt heel goed, en het is heel moeilijk te zien. Dus dat wilde ik je even laten zien. Dit is dus een manier waarop ze je op dit moment benaderen. Dus wat je ziet is dat je medewerkers zeggen, hé. Ik ben op zoek naar een Mews login. Dit brengt ze naar de gesponsorde link, en daar wil ik even pauzeren. Sorry. Wat je ziet is deze gesponsorde link met de tekst app dot mews dot com. Google staat deze adverteerders toe, die ze geldige adverteerders noemen. We hebben vaak contact opgenomen met Google en gezegd: kun je ze weghalen? Dit zijn geen geldige adverteerders. Maar omdat ze geld uitgeven aan Google, wil Google ze beschermen. Het is echt te gek. Je ziet dat alles er precies zo uitziet als op Mews. Maar wat gebeurt er als je op die link klikt? Zie je, je klikt erop en het brengt je naar een andere URL die er bijna hetzelfde uitziet. De hele pagina hebben ze gekopieerd van de inlogpagina en dan brengt het je naar app dot mewaes dot com, iets andere URL. De meeste mensen hebben dit niet en loggen dan in met hun gebruikersnaam, hun credential en zelfs codes voor tweestapsverificatie die ze nu overnemen. Dus zelfs met tweestapsverificatie ben je niet honderd procent zeker, tenzij je de magische koppelingen gebruikt. En zo loggen ze in op het systeem. De eerste stap is dus om de inloggegevens van je medewerkers te verkrijgen. Ze loggen in met die referenties. Ze zullen een nieuwe gebruiker aanmaken. En met dat nieuwe gebruikersaccount schakelen ze tweestapsverificatie in op dat specifieke account. En dan beginnen ze bestanden en data van gasten te downloaden, omdat helaas een van je medewerkers voor hun trucjes is gevallen op een openbare website zoals Google dot com, en dan beginnen ze zich te richten op je gasten. Dit is dus een aanval in meerdere stappen, maar het begint allemaal met je medewerkers die helaas vrijwillig hun inloggegevens afstaan. Dus we zien ook deze webpagina's, honderden verschillende URL's. Dus in deze zie je bijvoorbeeld app dot r n e w s staan. Het lijkt bijna op een m, dus je moet echt goed zijn in het herkennen hiervan. Een van de dingen die we ze dus leren, is om ervoor te zorgen dat ze de URL naar de inlogpagina direct op hun computer bookmarken, zodat ze niet hoeven te Googelen. Je moet je medewerkers nooit inlogpagina's laten Googlen naar online diensten die je hebt, welke online diensten dan ook, en nooit op de gesponsorde link klikken. De gesponsorde link is waar de schade het grootst is. Het gaat dus ook verder dan de e-mail. Toch? Voorheen kreeg je dus een e-mail waarin stond dat je op deze knop moest klikken om je inloggegevens op te geven. We zien nu voice phishing. Dus ze kunnen je gasten opbellen en zeggen: Meneer Jones, u hebt deze reservering. Kunt u dit alstublieft verifiëren? En de stem is echt goed, en ze gebruiken nu AI om je gasten aan te spreken en deze referenties te overhandigen. SMS phishing, omdat ze hun telefoonnummer uit je gastendatabase hebben. En met een e-mail hebben we ons personeel nu getraind om dingen te herkennen die er vreemd uitzien. Maar met SMS kun je dat niet zien. Dit is gewoon een sms die je krijgt van een willekeurig nummer. Ze kennen alle data van de reserveringen, dus gasten trappen erin. En ze gebruiken echt meerdere vectoren om je gasten en teamleden aan te vallen. Hoofdstuk Hoe bescherm je je teams en gasten Laten we het eens hebben over hoe we onszelf beschermen, want dit is echt belangrijk. Dus één, we moeten onze medewerkers leren om nooit boekingsmodules te gebruiken voor het vinden van aanmeldingen, voor het vinden van aanmeldingspagina's. Deze inlogpagina's moeten als bladwijzer bovenaan je pagina staan voor alle diensten die je momenteel in je hotels gebruikt. Elke keer dat je Google gebruikt, moeten ze de URL verifiëren. Als ze erop staan om Google te gebruiken om de inloggegevens te vinden, moet je je personeel leren om de inlog-URL te verifiëren of om ervoor te zorgen dat ze nooit op de gesponsorde links klikken. Een manier om tot op zekere hoogte te beschermen is tweestapsverificatie. Dus nadat je bent ingelogd met je e-mailadres en wachtwoord, wordt er een code naar je toegestuurd via een authenticator app of via e-mail, en daarmee kun je dan inchecken. We zijn dus al overgestapt op magische links in onze e-mails, want dan log je eigenlijk niet in op de pagina waar je bent, maar krijg je een e-mail en moet je op de link in de e-mail klikken om in te loggen. Deze omzeilt de phishingpogingen die we momenteel zien. Maar als je de code hebt die je op de authenticator app krijgt, zijn die codes vaak tien, vijftien seconden geldig. Als je die in de valse website plakt, zitten die phishingcriminelen in een kopie van jouw website en kopiëren ze die meteen. Ze kunnen dus nog steeds inloggen als je niet voorzichtig bent. Dus twee FA is echt goed en we hebben dit nu doorgevoerd in honderd procent van onze hotels. Ze gebruiken het nog steeds om toegang te krijgen. Gebruik altijd één login per persoon. Deel nooit wachtwoorden in hotels en zorg ervoor dat je een password manager gebruikt, zodat elke dienst een andere login heeft. Je moet dus nooit hetzelfde wachtwoord hebben voor dezelfde diensten, vooral niet voor je mailbox, omdat je e-mailbox vaak is ingesteld als een soort masterdomein waar al je andere diensten inloggegevens naartoe sturen. Dus vaak als je probeert in te loggen bij een dienst en er staat, ik ben mijn wachtwoord vergeten, dan voer je gewoon je e-mailadres in en dan stuurt hij je de e-mail. Dus als het wachtwoord van je e-mail account hetzelfde is als dat van Mews, dan heb je het veel makkelijker gemaakt om aangevallen te worden door deze criminelen. Zeven, is dat je veilige wachtwoorden nodig hebt. Het moeten dus geen woorden zijn die je je herinnert of herkent, want die kunnen ze heel gemakkelijk herformatteren. Gebruik een wachtwoord manager om je deze veilige wachtwoorden te geven. Acht, je moet je team trainen. Dit is een training die regelmatig moet plaatsvinden, omdat ze zullen vergeten dat ze niet ijverig zijn. En als het niet hun data zijn, vinden ze dat niet zo erg. Als hun referenties uitlekken, wat is dan het ergste dat hen kan overkomen? Maar helaas kan het voor jou als beheerder van een hotel ernstig zijn en vooral ook voor de gasten. Als je nieuwe vectoren ziet, als je nieuwe soorten aanvallen ziet, zorg er dan voor dat je die deelt met onze community, met jouw community, want we moeten elkaar iets leren. En tot slot, altijd, altijd op de uitkijk staan. Als je op internet bent, als je dingen googelt, vertrouw dan niet alles blindelings, want er zijn helaas enorm veel criminelen die je proberen aan te vallen. Als ik iets zou moeten zeggen, zou ik zeggen: maak een schermafdruk van deze pagina, log dit in, print het uit voor je teams en leg het op de receptie, zodat ze dit echt onthouden. Zorg ervoor dat dit in het wervingshandboek staat, zodat je deze dingen altijd herhaalt als er nieuwe mensen in dienst komen, want ze zijn echt heel belangrijk. Dus wat Hoofdstuk Wat doen we op Mews doen we op Mews? Omdat we de klok rond werken om je teamleden, je gasten en hun data te beschermen. We doen dus een aantal autorisaties op apparaatniveau. Dus de eerste is, als we, wanneer je inlogt, verifiëren dat ze menselijk zijn. We hebben dat selectievakje nu toegevoegd. Als we het apparaat herkennen, dus als ik herken dat de computer waarop ik nu zit, vandaag is ingelogd, dan zeggen we, hé. Dit is veilig. Maar op het moment dat je inlogt op een nieuw apparaat, krijg je een e-mail van ons waarin staat, hé. Er is een nieuwe login gelogd vanuit Amsterdam waar ik vandaag zit. Ben jij dat? Hiermee kun je dus vaststellen dat iemand op jouw account is ingelogd. En als dat er verdacht uitziet, zorg er dan voor dat je aan de bel trekt en contact opneemt met de beheerder van je hotel en zorg ervoor dat je je accounts reset. We investeren veel in deskundige beveiligingstechnici. Ze werken al maanden de klok rond om nieuwe manieren te introduceren om onszelf te beschermen. We leiden al onze teamleden intern regelmatig op. We praten hierover tijdens onze bijeenkomsten met alle medewerkers, om ervoor te zorgen dat iedereen die met gasten en met jou spreekt, wordt voorgelicht. En we zorgen ervoor dat elke regel code die we in het systeem stoppen aan beveiliging denkt. En de meeste van onze software engineers zijn volledig getraind op beveiliging. We gebruiken bedrijven om al het werk dat we doen voortdurend te evalueren. En ik denk dat wat ik zou aanraden is dat je nadenkt, oké, hoe vaak hebben we ons team getraind en hoe regelmatig moeten we dat doen? En zorg ervoor dat je deze training hebt ingesteld voor je teamleden. Als Hoofdstuk De laatste takeaway en be safe je iets meeneemt uit deze korte video, is het om je teams te leren nooit te Googelen. Gebruik altijd bladwijzers. Google dus nooit inlogpagina's. Gebruik altijd de bladwijzers die op de computer zijn kassa en zorg ervoor dat elke computer die je medewerkers installeren alle bladwijzers op een of andere manier op hun bureaublad logt om ze te helpen, want daar gebeurt het allemaal. We zijn actief in gesprek met Google. Helaas helpen ze niet, maar we zullen doorgaan met de strijd en ervoor zorgen dat we ze zo hard mogelijk onder druk zetten. Maar zorg er in de tussentijd voor dat je teamleden nooit inlogpagina's op Google zetten. En als je je ooit zorgen maakt, neem dan zeker contact met ons op. We hebben een 24 uur per dag support team klaarstaan om je te helpen bij deze aanvallen. Maar dit is meedogenloos. Het gebeurt al vele maanden en het escaleert en zorg ervoor dat je jezelf en je verschillende systemen beschermt, want dit gebeurt in de hele sector, in verschillende systemen. Bedankt en verblijf veilig.