Werden Geschäftsreisen in Ihrem Unternehmen über booking.com gebucht? Dann Vorsicht: Betrüger missbrauchen die Hotelbuchungsplattform für Phishing-Angriffe.
Wir erklären, was es mit Phishing auf booking.com auf sich hat und wie sich Unternehmen schützen.
Phishing ist ein beliebtes Angriffsmittel
Wenn es um Cyberangriffe geht, ist Phishing sehr oft die Methode der Wahl für Cyberkriminelle. Mithilfe von E-Mail-Kampagnen versuchen sie immer wieder, an sensible Daten wie Kreditkartennummern, Passwörter oder Bankdaten zu gelangen, indem sie sich als seriöse Unternehmen oder Personen ausgeben. Sowohl Privatpersonen als auch Unternehmen werden hier ins Visier genommen.
Dies hat in den letzten Monaten erneut gezeigt, wie intensiv Cyberkriminelle an ihren Methoden arbeiten, um den größtmöglichen Erfolg zu erzielen. Das Ergebnis: Phishing-Angriffe werden immer raffinierter und zielgerichteter. Genau das ist eine der zentralen Aussagen, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) im BSI-Lagebericht 2023 feststellt.
Eine kürzlich durchgeführte Phishing-Kampagne ist das beste Beispiel dafür, wie raffiniert solche Phishing-Kampagnen geworden sind. Diesmal nutzen die Angreifer eine der bekanntesten Hotelbuchungsplattformen: Mit dem Phishing von booking.com sorgen sie für Aufsehen.
booking.com Phishing: aktueller Betrug
Ein Blick auf Google zeigt, dass es auf booking.com ein massives Phishing-Problem gibt: In den letzten Tagen und Wochen sind Suchanfragen wie „booking.com Phishing Mail“, „Booking Phishing“ oder „Phishing booking.com“ sprunghaft angestiegen. Dieser Suchtrend wird seit Juni/Juli 2023 beobachtet. In den letzten Monaten haben Opfer in der Tat wiederholt seltsame Nachrichten gemeldet, die sie über die Buchungsplattform in Foren wie Reddit erhalten haben.
Und genau hier liegt der Hase: Die Phishing-Mails scheinen direkt über die technische Infrastruktur von booking.de versendet zu werden. Dementsprechend sind sie nur sehr schwer als Betrugsversuch zu erkennen. Daher kann nur der Inhalt Sie wirklich zum Staunen bringen. Die folgenden Beispiele zeigen, wie das aussehen kann.
Opfer melden Phishing auf booking.com
Folgender Fall wurde uns vorgebracht: Bei der Buchung eines Hotels wurde die sonst immer funktionierende Kreditkarte vom Hotel/der Buchung immer wieder als abgelehnt angemahnt. Das Opfer wurde über einen Link aufgefordert, die Zahlung vorzunehmen, da sonst die Buchung storniert würde. Zum Glück kam ihm das seltsam vor, sodass er seine Buchung stattdessen direkt über die Hotelwebsite tätigte — diesmal funktionierte die Buchung mit derselben Kreditkarte problemlos. Das Hotel stornierte daraufhin die Buchung.
Die Redaktion von heise Security hat auch Briefe über seltsame Ereignisse bei Booking erhalten. Ein Opfer berichtet, dass er über Booking ein Hotelzimmer gebucht hatte und später vom Hotel über die Buchungs-App gebeten wurde, seine Kreditkartendaten zu bestätigen. Ein angehängter Link führte ihn auf eine Bestätigungsseite mit den echten Buchungs- und Adressdaten — es kann nun davon ausgegangen werden, dass es sich bei dieser Website um eine täuschend echte Nachbildung gehandelt haben muss. Die Folge dieses Falls: Das Opfer verlor aufgrund betrügerischer Abrechnungen knapp 280 Euro. Ein anderer Leser soll eine gefälschte Buchungsmail mit der Information erhalten haben, dass sein Flug storniert worden sei. In dieser E-Mail war auch ein Phishing-Link enthalten.
So funktioniert Phishing auf Booking.com
Aufgrund der Opferberichte haben sich Sicherheitsforscher bereits daran gemacht, der aktuellen Phishing-Kampagne auf den Grund zu gehen. Sie haben die Aktionen der Cybergangster wie folgt rekonstruiert:
- Zunächst greifen Betrüger Hotels an und infizieren sie systematisch mit Schadsoftware. Nach Angaben des Sicherheitsdienstleisters SecureWorks geben sie sich als Gäste aus und schmuggeln mit vermeintlichen Reisedokumenten Schadsoftware namens „Vidar“ ein.
- In einem zweiten Schritt attackiert die geschmuggelte Schadsoftware die hoteleigenen Anmeldedaten zur Plattform Booking.com und sendet diese Daten an den Kriminellen an eine IP-Adresse, die in einem STEAM-Benutzerprofil gespeichert ist.
- Mithilfe der Login-Daten können die Angreifer auf Buchungsdaten zugreifen und das als vertrauenswürdig geltende Messaging-System von booking.com nutzen, indem sie sehr glaubwürdige E-Mails mit Phishing-Links an ihre tatsächlichen Opfer x — aktuelle und ehemalige Gäste der Phishing-Hotels — versenden.
Das große Problem: Weil Betrüger die echten Buchungsdaten einsehen können, wirken die Phishing-E-Mails so glaubwürdig, dass sie selbst für erfahrene Nutzer schwer zu erkennen sind. Die Masche ist daher für die Angreifer äußerst vielversprechend.
Stellungnahme von Booking zu den Phishing-Angriffen
Die Sicherheitsforscher von SecureWorks gehen davon aus, dass der Betrug nicht erst seit Juni/Juli 2023 läuft, sondern bereits im März 2023. Betroffene kritisieren, dass der Portalbetreiber nicht auf die Meldungen reagiert. Laut einer Mitteilung gegenüber heise Security sind ihm jedoch die Hände gebunden, da sich die Angriffe gegen die Partnerhotels richten und nicht direkt gegen die Plattform Booking.com. Sie arbeiten „unermüdlich daran, unseren Unterkunftspartnern zu helfen, ihre Systeme so schnell wie möglich abzusichern und allen potenziell betroffenen Kunden entsprechend zu helfen“, zitiert Heise Security aus der Mitteilung.
Die Betroffenen kritisieren den Umgang von Booking mit dieser heiklen Situation. Sie scheinen auf den Kosten sitzen zu bleiben: Booking soll die Rückbuchungsanfrage eines Opfers einfach an das Hotel weitergeleitet haben, das wiederum booking.com dafür verantwortlich gemacht hat. Die Phishing-Seite war Mitte November 2023 noch online — Booking scheint die zuständigen Behörden daher nicht informiert zu haben.
So schützen sich Unternehmen vor Buchungs-Phishing
Das bedeutet: In erster Linie sind Hotelanbieter und zweitens Bucher zu besonderer Vorsicht verpflichtet. Hotelbetreiber sollten alle Mitarbeiter über die Phishing-Mails informieren, damit sie möglichst keine verdächtigen E-Mail-Anhänge öffnen und der Schadsoftware so Zugriff auf das System gewähren. Bucher sollten auf der anderen Seite äußerst wachsam gegenüber allen Nachrichten sein, die von booking.com gesendet werden.
Daraus ergeben sich die wichtigsten Hausaufgaben für Unternehmen: Sie sollten alle Mitarbeiter, die Hotelzimmer für Geschäftsreisen über booking.com buchen, über das Risiko von Booking.com-Phishing informieren. Geben Sie ihnen am besten die folgenden Tipps, um Ihr Unternehmen vor Phishing-Angriffen über booking.com zu schützen:
- Seien Sie misstrauisch, wenn Sie eine E-Mail von booking.com erhalten, mit der Sie nicht gerechnet haben.
- Prüfen Sie den Absender der E-Mail sorgfältig. Ist die E-Mail wirklich von booking.com?
- Seien Sie besonders vorsichtig, wenn Sie Zahlungsinformationen anfordern. Dies kann auch auf ungewöhnliche Weise geschehen, z. B. per E-Mail, Chat-Nachricht, SMS, WhatsApp oder Telefon.
- Klicken Sie niemals auf Links in den E-Mails von booking.com. Rufen Sie stattdessen direkt in Ihrem Browser die Website booking.com auf.
- Geben Sie niemals Ihre Kreditkartennummer, Ihr Passwort oder andere vertrauliche Informationen in E-Mails ein.
Wie bereits erwähnt, bleibt das Problem der perfekt gefälschten Nachrichten jedoch bestehen. Leider gibt der Plattformbetreiber selbst dazu keine wertvollen Tipps. Eine Möglichkeit wäre, Hotelbuchungen vorerst nur über die Hotel-Websites vorzunehmen.
IT-Dienstleister helfen bei der Bekämpfung von Phishing
Die Phishing-Angriffe auf booking.com sind ein Beispiel von vielen, die verdeutlichen, wie groß die Bedrohung durch Cyberangriffe tatsächlich ist. Unternehmen sollten daher nichts unversucht lassen, um sich vor diesen Angriffen zu schützen. Wie, indem Sie alle verfügbaren Sicherheitsmaßnahmen ergreifen — natürlich sinnvoll gebündelt in einem IT-Sicherheitskonzept und zugeschnitten auf die individuellen Anforderungen des Unternehmens.
IT-Dienstleister können dabei eine wichtige Rolle spielen, indem sie Unternehmen bei der Umsetzung von Schutzmaßnahmen unterstützen. Dies beginnt bei der Entwicklung eines Sicherheitskonzepts, der Umsetzung sinnvoller Maßnahmen wie der Integration von Sicherheitslösungen und der Überwachung der IT-Infrastruktur auf Phishing-Versuche und reicht bis hin zur Schulung der Mitarbeiter zum Thema Phishing. Möchten Sie mehr erfahren? Dann wenden Sie sich an uns!
Weitere Informationen:
heise
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Es sind jedoch immer alle Geschlechter und Geschlechtsidentitäten gemeint.
Lesen Sie den Originalartikel auf IT-SERVICE.network