Blog

Informativ, aktuell und spannend – der Oneconsult Cybersecurity Blog.

Betrüger machen keinen Urlaub – die Social Engineering Falle
Tabea Nordieker
|
15.02.2023
(aktualisiert am: 09.09.2024)

Wenn man an Urlaub denkt, denkt man als Erstes an Entspannung. Man lässt den Alltagsstress hinter sich und möchte die freien Tage einfach nur geniessen. Leider ist man aber selbst im Urlaub nicht sicher vor Betrügern und es lohnt sich stets aufmerksam zu sein.

Die Gefahr des Social Engineering lauert auch an den schönsten Orten dieser Welt. Damit sich der nächste Urlaub nicht zum Albtraum entwickelt, möchten wir gerne die folgende Geschichte mit Ihnen teilen.

Betrüger machen keinen Urlaub – die Social Engineering Falle

Was war vorgefallen?

Vor Kurzem wurden wir von einem Hotel kontaktiert, welches um eine Einschätzung zu einem Vorfall gebeten hat. Ein Gast war während seines Aufenthaltes Opfer eines Kreditkartenbetrugs geworden und das Hotel wollte sich absichern, dass es zu keiner Kompromittierung ihrer Systeme gekommen war. Die Angreifer machten sich eine ausgeklügelte und gleichzeitig einfache Betrugsmasche zu nutzen, welche auf einem Social-Engineering-Angriff des Room Services beruht, gefolgt von einem betrügerischen Anruf beim Gast selbst.

Alles begann mit einem Anruf beim Room Service. Dieser Anruf wurde von der Hauptnummer bereits weitergeleitet, da der Room Service nicht direkt von extern erreichbar ist. Der Anrufer gab sich als technischer Supportmitarbeiter einer Firma aus, die Kassensysteme für Hotels vertreibt. Interessant ist, dass es sich zwar um einen weitverbreiteten Anbieter in der Hotelbranche handelt, dieses besagte System aber in dem betroffenen Hotel nicht im Einsatz war. Der angebliche Supportmitarbeiter erkundigte sich nach offenen Buchungen im System (Bestellungen beim Room Service, welche noch nicht final abgerechnet wurden), um zu prüfen, ob technisch alles einwandfrei funktioniere. Laut Aussage der Ansprechpersonen des Hotels wurden keine vertraulichen Informationen herausgegeben, dies konnte aber nicht zweifelsfrei bestätigt werden.

Daraufhin kam es zu einem Anruf bei einem Gast direkt im Hotelzimmer. Der Anrufer gab sich als Room Service aus und sprach den Gast auf ein bestelltes Frühstück an. Angeblich gab es Probleme mit der hinterlegten Kreditkarte und der Gast wurde gebeten, erneut seine Kreditkarteninformationen zu teilen. Der Gast hat daraufhin gutgläubig am Telefon seine Kreditkarteninformationen herausgegeben. Als er einige Zeit später eine fremde Buchung aus dem Ausland von seiner Kreditkarte bemerkt hat, hat er sich an das Hotel gewandt und so kam der Vorfall ans Licht.

Einschätzung der Lage

Nach der ersten Schilderung des Vorfalls kommen theoretisch zwei Szenarien in Frage:

  • Die Systeme des Hotels wurden kompromittiert. Der Angreifer hat Einsicht auf die Buchungsdaten und persönlichen Informationen der Gäste.
  • Das Hotel wurde nicht kompromittiert. Die notwendigen Informationen für den Kreditkartenbetrug wurden durch Social Engineering, eventuell in Verbindung mit einer Open Source Intelligence (OSINT) Recherche, erlangt.

Aufgrund des Ablaufs scheint ein Social-Engineering-Angriff wahrscheinlicher. Falls ein Angreifer Zugriff auf die Systeme des Hotels hat, wäre ein Anruf beim Room Service vermutlich nicht notwendig, da die Daten vom Angreifer eingesehen werden könnten und es wären vermutlich auch mehrere Kunden betroffen gewesen. Zudem würde man bei einer Kompromittierung andere Angriffsszenarien vermuten, welche auch lukrativer wären, wie beispielsweise ein Datendiebstahl oder die Verschlüsselung von Daten mit anschliessender Erpressung. Um eine Kompromittierung zu 100% ausschliessen zu können, benötigt es eine tiefgehende forensischen Untersuchung. Hier sollte aber jeweils von Fall zu Fall abgewogen werden, ob der Aufwand einer solchen Analyse dem möglichen Nutzen gerecht wird.

Empfohlene Massnahmen

Da die Betrüger durch Telefonanrufe Kontakt mit dem Hotel und dem Gast aufgenommen haben, lohnt es sich, einen Blick in die Logdateien der Telefonanlage zu werfen. Somit kann identifiziert werden, woher diese Anrufe kamen und ob weiter Gäste betroffen waren, die allenfalls gewarnt werden können.

Eine weitere Sofortmassnahme, die bereits vom Hotel umgesetzt wurde, ist die Umleitung aller eingehenden Anrufe über die Hauptnummer. Dies kreiert eine weitere Barriere, die es zu umgehen gilt, bevor ein Gast dazu gebracht werden kann, Kreditkarteninformationen zu teilen. Die Mitarbeitenden der Rezeption können somit Anrufe vorab prüfen und den Gast beim Weiterleiten erste Informationen mitliefern. Dieses Prinzip der «Human Firewall» ist selbstverständlich nur effektiv, wenn die Mitarbeitenden zuvor durch eine Cyber-Security-Awareness-Schulung sensibilisiert wurden.

Auch wenn sich dieser Vorfall auf die Hotelbranche bezieht, ist ein ähnliches Vorgehen durchaus auch in anderen Bereichen denkbar. Die empfohlenen Massnahmen sind somit analog in anderen Betrieben im Dienstleistungsbereich anwendbar. Ist dies vielleicht Ihr nächstes Szenario für eine Tabletop-Übung?

Fazit

Betrüger lauern überall, auch an Orten, wo man nicht damit rechnet. Angreifer denken sich immer wieder neue Szenarien aus, wie sie ein mögliches Opfer dazu verleiten können, vertrauliche Informationen herauszugeben. Man kann sich nur davor schützen, indem man stets aufmerksam bleibt.

Haben Sie noch Fragen oder sind Sie an einem Cyber-Security-Awareness-Training interessiert? Weiterführende Informationen finden Sie hier: Cyber Security Academy. Wir freuen uns von Ihnen zu hören!

Autorin

Tabea Nordieker ist seit Juli 2022 als Digital Forensics & Incident Response Specialist bei der Oneconsult AG in Zürich angestellt, wo sie Kunden bei der Behebung von Cybersicherheitsereignissen unterstützt.

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Erreichbarkeit von Montag bis Freitag 08.00 – 18.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRR-Notfallnummer anrufen).

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

QR_CSIRT_2022@2x
CSIRT zu den Kontakten hinzufügen