MGM Resorts ondervond een aanzienlijke inbreuk op de cyberveiligheid toen aanvallers een phishing-techniek gebruikten via een helpdeskoproep. Het incident onderstreept de dringende behoefte aan een betere training van medewerkers in het omgaan met e-mails en telefoontjes. Als gevolg van de inbreuk kreeg MGM te maken met ernstige verstoringen, waarbij de malware zich snel over al hun systemen verspreidde, waardoor een volledige afsluiting ontstond. Grote cyberbeveiligingsbedrijven, zoals CrowdStrike, leggen de nadruk op regelmatige trainingen voor niet-beveiligingspersoneel, vaak maandelijks, om dergelijke incidenten te voorkomen, maar hotelorganisaties kunnen wel of niet zulke rigoureuze trainingsprotocollen aanbieden. De aanvallers gebruikten social engineering om werknemers ervan te overtuigen kwaadaardige e-mailbijlagen te openen tijdens een gesprek. Deze methode is een favoriet hulpmiddel voor hackers, naast het maken van virussen. Zodra de kwaadaardige bijlage, die een PDF-, Excel-bestand of een ander formaat kan zijn, wordt geopend, wordt de malware geactiveerd. Vervolgens zoekt het naar open gedeelde netwerken, injecteert zichzelf in verschillende processen en verspreidt zich naar andere machines. De snelheid van deze verspreiding is alarmerend en kan binnen enkele seconden tot wel 100.000 computers treffen.

“Jaarlijkse social engineering- en phishing-trainingen voor werknemers zijn het schild dat de digitale vesting van veel organisaties veilig houdt. Teams op verschillende afdelingen kunnen de steeds evoluerende tactieken van cyberdreigingen herkennen en dwarsbomen, en dit blijft elke dag belangrijk”, zegt CrowdStrike Senior Security Researcher Ryan Cornateanu .

De recente cyberaanval op MGM Resorts onderstreept de diepgaande kwetsbaarheden waarmee zelfs grote bedrijven in het huidige digitale tijdperk worden geconfronteerd. Het feit dat de inbreuk afkomstig is van een zo alledaags platform als LinkedIn, herinnert ons duidelijk aan de gevaren van het te veel delen van professionele gegevens online. Het gaat niet alleen om de onmiddellijke financiële gevolgen, ook al zijn die aanzienlijk. Omdat alleen al de eigendommen van MGM in Las Vegas dagelijks meer dan 13 miljoen dollar binnenhalen, zijn de economische gevolgen van een dergelijke aanval onthutsend. Maar naast de tastbare verliezen is er ook de immateriële schade waarmee rekening moet worden gehouden. De aantasting van de reputatie van MGM, vooral onder klanten wier droomervaringen in Vegas ontsierd zijn, is een klap die jaren kan duren om te herstellen. Dit incident zou voor hoteliers overal ter wereld een wake-up call moeten zijn over het grote belang van robuuste cyberbeveiligingsmaatregelen en de mogelijke langetermijngevolgen van eventuele tekortkomingen.

1. De kracht van social engineering : de oorsprong van de aanval op een platform als LinkedIn benadrukt de potentiële risico's van het te veel delen van professionele gegevens online. Hoe kunnen individuen en bedrijven zichzelf beter beschermen tegen dergelijke kwetsbaarheden?

2. Economische impact : Omdat de eigendommen van MGM in Las Vegas dagelijks meer dan $13 miljoen opleveren, zijn de financiële gevolgen van een dergelijke aanval enorm. Hoe zal dit incident de cybersecurity-investeringen van andere grote bedrijven beïnvloeden?

3. Reputatie die op het spel staat : Hoe kan deze cyberaanval, afgezien van de onmiddellijke financiële verliezen, de reputatie van MGM op de lange termijn beïnvloeden, vooral gezien de klanten die hun unieke Vegas-ervaring misschien hebben verpest?

In de context van cyberbeveiliging verwijst social engineering naar de manipulatie van individuen om specifieke acties uit te voeren of vertrouwelijke informatie vrij te geven. In plaats van kwetsbaarheden in software of hardware te misbruiken, richten social engineering-aanvallen zich op menselijke zwakheden. Het doel is om individuen te misleiden om gevoelige informatie vrij te geven, toegang te verlenen tot beperkte gebieden of acties uit te voeren die de veiligheid in gevaar brengen.

Er zijn verschillende vormen van social engineering-aanvallen, waaronder:

1. Phishing : Dit is een van de meest voorkomende vormen van social engineering. Aanvallers sturen frauduleuze e-mails, berichten of websites die legitiem lijken om slachtoffers te verleiden gevoelige gegevens te verstrekken, zoals inloggegevens of creditcardnummers.
2. Voorwendsel : Hier verzint de aanvaller een scenario (of voorwendsel) om informatie van een slachtoffer te verkrijgen. Ze kunnen zich bijvoorbeeld voordoen als bankvertegenwoordiger en om rekeninggegevens vragen, waarbij ze beweren dat ze deze nodig hebben voor verificatiedoeleinden.
3. Lokken : Hierbij wordt het slachtoffer iets verleidelijks aangeboden, zoals gratis software, om hem ertoe te verleiden kwaadaardige software te downloaden.
4. Tailgating of meeliften : Bij deze methode zoekt een aanvaller toegang tot een beperkt gebied zonder de juiste authenticatie door een geautoriseerde persoon op de voet te volgen. Ze kunnen bijvoorbeeld een beveiligd gebouw binnenlopen vlak achter een medewerker die toegang heeft.
5. Quizzen : Aanvallers gebruiken quizzen of enquêtes op sociale media om gebruikers te misleiden om persoonlijke informatie vrij te geven.
6. Vishing : vergelijkbaar met phishing, maar dan via de telefoon. De aanvaller kan zich voordoen als een bankvertegenwoordiger, belastingambtenaar of technische ondersteuningsagent om gevoelige informatie van het slachtoffer te achterhalen.

Het succes van social engineering-aanvallen hangt sterk af van het vermogen van de aanvaller om menselijke emoties, zoals angst, nieuwsgierigheid of de wens om te helpen, te manipuleren. Omdat deze aanvallen zich op menselijk gedrag richten, zijn voortdurende educatie en bewustmakingstrainingen van cruciaal belang om individuen te helpen dergelijke manipulatieve tactieken te herkennen en te weerstaan.

Hotels moeten, als belangrijkste doelwitten voor cyberdreigingen, prioriteit geven aan de veiligheid van hun digitale infrastructuur en de opleiding van hun personeel. Een van de meest effectieve maatregelen is het aanbieden van regelmatige trainingssessies voor werknemers, zodat ze goed thuis zijn in het identificeren en beperken van potentiële bedreigingen, zoals phishing-e-mails of verdachte online activiteiten. Door een cultuur van cyberveiligheidsbewustzijn te bevorderen, kunnen hotels het risico op menselijke fouten, die vaak de zwakste schakel in de veiligheidsketen vormen, aanzienlijk verminderen. Bovendien zorgt de samenwerking met softwareleveranciers die zwaar hebben geïnvesteerd in cyberbeveiliging ervoor dat de digitale systemen van het hotel zijn versterkt met de nieuwste beveiligingsprotocollen. Dergelijke leveranciers brengen expertise, geavanceerde technologie en voortdurende updates met zich mee, waardoor ze een extra verdedigingslaag bieden tegen het steeds evoluerende landschap van cyberdreigingen.