Social Engineering und POS-Angriffe in der Hotelbranche

Was kann man gegen Social Engineering- und POS-Angriffe in der Hotelbranche tun?
Stellen Sie sich eine durchschnittliche Hotellobby an einem geschäftstätigen Tag vor. Über den ganzen Tag verteilt findet hier ein zahlreiches Kommen und Gehen von ein- und auscheckenden Gästen, sowie eine umfangreiche Nutzung der Hoteleinrichtungen statt. Zudem besteht eine hohe Frequenz an Hotelmitarbeitern, die ihren Aufgaben nachgehen. Aus Sicht des Hackers ist solch ein belebtes Hotelumfeld ein idealer Standort für den Versuch eines Social Engineering Angriffs.
Social Engineering ist ein erprobter und realer Angriffsvektor der Internetkriminalität, bei der ein Krimineller die Menschen so manipuliert, dass dadurch Malware in das Unternehmensnetzwerk eingeschleust werden kann. In unserem Beispiel Hotellobby könnte ein Angreifer einen manipulierten USB-Stick mit der Aufschrift „Mitarbeiter-Tantiemen“ so platzieren, dass dieser garantiert von einem Mitarbeiter des Personals gefunden würde. Mit hoher Wahrscheinlichkeit wird diese Person der Versuchung nicht widerstehen können, den USB-Stick an den Computer anzuschließen um nachzusehen was es damit auf sich hat. Die menschliche Neugier ist und bleibt eine der größten Sicherheitsschwachstellen.
Vorstellbar wäre auch die Manipulation eines Mitarbeiters am Empfang um sich für ein paar Sekunden Zugriff auf einen Hotelcomputer zu verschaffen, um entsprechende Malware in das Netz einzuschleusen.
Natürlich können Social-Engineering-Angriffe auch aus der Ferne durchgeführt werden. Bekannter Weise durch eine manipulierte E-Mail, die den Hotelmitarbeiter zum Anklicken eines infizierten Links ermutigt. Bei der hohen Anzahl von unterschiedlichsten Hotelmitarbeitern, die in der Regel auf POS-Systeme und Netzwerkcomputer zugreifen können, ist es relativ einfach einen gezielten Angriff durchzuführen.
Beispielsweise könnte ein Übeltäter eine Beschwerde-E-Mail mit angehängten, manipulierten Bildern oder Links, über den schlechten Zustand des Pools, an das Hotelteam schicken. Ein kurzer Klick eines unsicheren Mitarbeiters genügt, um das gesamte Hotel-Netzwerk zu infizieren.
Um einen Großteil diese Angriffsarten zu vereiteln, ist eine detaillierte Schulung und Ausbildung der Mitarbeiter unumgänglich. Hotels sollten geeignete und wiederkehrende Trainingsprogramme zu den Themen: Social Engineering-Techniken, Phishing-Attacken und Drive-by-Downloads entwickeln, damit die Hotelmitarbeiter immer wieder auf den aktuellsten Stand möglicher Angriffsversuche gestellt werden.
Zudem müssen die Hotelbetreiber die großen Risiken von POS (Point of Sales)-Systemen und die Speicherung von Kreditkartendaten verstehen, die sich meist in öffentlich zugänglichen Orten wie Lobby, Bar oder Souvenirladen befinden. Neben entsprechenden Passwort-, Authentifizierungs- und Zugriffskontrollen, sollten diese Systeme nie unbeaufsichtigt bleiben.
Immer mehr erfolgreiche Netzwerkangriffe wurden in letzter Zeit über die vorhergehende Manipulation von POS-Systemen erzielt, um an Kunden- oder Kreditkartendaten zu gelangen. Durch die folgende unberechtigte Nutzung verschaffen sich viele Angreifer einen indirekten Zugang auf das Hotelnetzwerk. Erleichtert wird dies oft durch eine verräterische Namensgebung der POS-Systeme, wie z.B.: „POS1“ oder gar der Herstellername des POS Systems. Eine einfache Namensänderung kann hier schon helfen die Kundendaten vor solchen Angriffen zu schützen.
Darüber hinaus sollten die POS-Systeme vom Hotel-Netzwerk segmentiert und der Internet-Zugang ausgeschlossen werden. Die Betreuung der Geräte sollte nur durch ausgewählte Mitarbeiter erfolgen.