[English]Cyberkriminellen gelingt es wohl immer wieder, die Buchungsplattform booking.com für Phishing und Betrug zu missbrauchen. Die Opfer erhalten die Phishing-Nachrichten direkt über die booking.com-App. Dahinter steckt ein grundsätzliches Problem, da die Cyberkriminellen die Systeme der Vermieter kompromittieren und dann das booking.com-System missbrauchen, um Ofer in die Falle zu locken.
Anzeige
Die Hotel-Buchungsplattform booking.com ist mir beispielsweise aus dem Beitrag Booking.com-Hack aus 2016 wohl durch Mitarbeiter des US-Geheimdiensts hier im Blog bekannt. Und seit Sommer 2023 köchelt eine neue Betrugsmasche, die die Plattform booking.com missbraucht, um Opfer zu übertölpeln.
Warnungen seit Monaten
Bereits im Mai 2023 gab es die Warnung der Verbraucherzentrale Niedersachen vor Fake-Nachrichten, die im Umfeld der Buchungsplattform booking.com verschickt werden. Eine Frau aus Niedersachsen hatte bei booking.com eine Reise gebucht und erhielt kurze Zeit später eine WhatsApp-Nachricht. Diese stammte vorgeblich von einer Mitarbeiterin des Hotels und enthielt einige Fragen zur Buchung sowie Links. Die Frau reagiert darauf nicht. Vor Urlaubsbeginn erhält sie dann noch eine E-Mail: Es gäbe Probleme mit dem gewählten Zahlungsmittel und die Daten müssten erneut eingegeben werden. Hierfür hätte die Kundin 24 Stunden Zeit, andernfalls werde die Buchung storniert. Die E-Mail stammt angeblich vom Buchungsportal und leitet auf eine Website weiter, die der original Booking.com-Seite täuschend ähnlich sieht. Die Verbraucherin war verwundert und fragt beim Hotel nach. Dies versichert ihr aber, dass die Buchung funktioniert habe und es sich voraussichtlich um einen Betrugsversuch handele.
Kathrin Bartsch, Rechtsexpertin der Verbraucherzentrale Niedersachsen, sagte seinerzeit dazu: "Die Betrüger haben nicht nur persönliche Daten von Buchenden. Sie wissen sogar genau, für welchen Zeitraum Kundinnen und Kunden welches Hotel gebucht haben. Das macht es natürlich umso schwerer, einen Betrugsversuch überhaupt zu erkennen. Über einen Hackerangriff oder aus anderen Sicherheitslücken eines Verwaltungstools der Unterkunft gelangen Kriminelle an die Daten der Kundinnen und Kunden, die über Booking.com gebucht haben."
Inzwischen warnt die Verbraucherzentrale Nordrhein-Westfalen in diesem aktuellen Beitrag vor Betrugsversuchen im Umfeld von booking.com. Wer dort bucht, bekommt u.U. eine Benachrichtigung mit der Aufforderung, seine Kreditkartendaten erneut einzugeben. Oder es soll eine erneute Verifizierung erfolgen, bei der persönliche Daten abgegriffen werden. Diese Benachrichtigung stammt aber nicht von der gebuchten Unterkunft, sondern von Betrügern, die diese Daten abfischen wollen.
Die Verbraucherzentrale berichtet von Fällen, wo die Phishing-Nachricht vom Buchungsportal kam und der Empfänger zur Angabe der Zahlungsdaten aufgefordert wurde. Die Betrüger wussten genau über die Buchung Bescheid und kannten Hotel, Aufenthaltsdaten und so weiter. Florian H. wird dort so zitiert: "Direkt in deren Nachrichtenportal wurde ich vom Hotel angeschrieben und zur Verifizierung der Zahlungsdaten aufgefordert. Parallel dazu erhielt ich eine WhatsApp mit echtem Namen und auch dem Namen des Hotels." Sogar der Buchungszeitraum und Buchungsnummer bei booking.com waren richtig.
Die Verbraucherschützer raten, die Bezahlung der Unterkunft und auch die Angabe der Zahlungsdaten nur auf der Plattform booking.com vorzunehmen und nicht auf weitere Benachrichtigungen, die Zahlungsdaten anfordern, zu reagieren. Denn die Nachrichten sind mutmaßlich gefälscht – ein kurzer Anruf bei der Plattform oder der Unterkunft dürfte genau dies ergeben.
Wie sind die Angriffe über booking.com möglich?
Die Verbraucherzentrale Nordrhein-Westfalen zitiert in diesem aktuellen Beitrag die Plattform booking.com mit der Erklärung, dass wohl Angestellte von Unterkünften per Phishing verleitet wurden, die Zugangsdaten des Hotels oder der Unterkunft einzugeben. Damit haben die Betrüger dann über dieses Konto Zugriff auf die Buchungsdaten sowie auf das Benachrichtigungssystem von booking.com.
Malware ziel auf Unterkünfte
Auch heise berichtet in diesem aktuellen Artikel von Lesermeldungen in den letzten Monaten, wo Leute Nachrichten direkt von booking.com erhielten, die von Betrügern stammten. Dort wird jedoch angegeben, dass die Cyberkriminellen die Hotelmitarbeiter per auf Datendiebstahl abgestimmte Malware angreifen. Ist die Schadsoftware beim Mitarbeiter der Unterkunft auf dem System installiert, können die Kriminellen beliebige Daten abgreifen und dann den Buchenden über das booking.com-Nachrichtensystem Fake-Benachrichtigungen schicken.
Anzeige
Die Kollegen von Bleeping Computer haben bereits im September 2023 in diesem Artikel auf eine entsprechende Kampagne hingewiesen, die nach dem gleichen Schema ablief. Perception Point hat in diesem Blog-Beitrag die betreffenden Details dokumentiert. Dort werden Beispiele von Mails gezeigt, die die Kriminellen an Hotels und andere Unterkünfte verschicken.
SecureWorks schreibt in diesem Blog-Beitrag über einen Info-Stealer (Trojaner) mit der Bezeichnung Vidar, der gezielt von einer Cybergang für ihre Betrugsversuche eingesetzt wird. Ziel ist es, die Systeme der Hotelmitarbeiter über schädliche Anhänge zu infizieren. Dazu buchen die Betrüger bei der Unterkunft und schicken im Nachgang eine Nachricht mit einem Schadanhang. Der Anhang ermöglicht dann die Anmeldedaten der Unterkunft abzugreifen. Weiterhin nutzt der Bedrohungsakteur Spearphishing-E-Mails und Social-Engineering-Taktiken, um die Anmeldedaten eines Hotels zu erlangen und die Zahlungsinformationen der Kunden zu erfragen. Der SecureWorks Blog-Beitrag enthält detaillierte Informationen zu dieser Taktik und die Kampagnen laufen seit mindestens März 2023.
Details von Check Point Research
Von Check Point Research (CPR) habe ich noch die Information erhalten, dass seit Monaten Kundendaten von der Plattform booking.com gestohlen wurden und im Dark Net zum Verkauf angeboten werden. Die Sicherheitsforscher von Check Point Research fanden heraus, dass die Branche im dritten Quartal 2023 je Woche 1000 Attacken erleiden musste. Dies entspricht einem Anstieg von 5 Prozent im Vergleich zum Vorjahresquartal entspricht.
Hacker entdecken somit das Freizeit- und Gaststättengewerbe auch zur Wintersaison für sich, schreibt CPR. Die Sicherheitsforscher konnten zudem Ansätze aufdecken, die die Cyberkriminellen für ihre Kampagnen verfolgen.
Werbung eines Hackers in einem Forum, um Komplizen für den Hotel-Betrug über Booking.com zu gewinnen. Quelle: Check Point Research
Auch bei Check Point Research heißt es, dass die Cyberkriminellen eine Buchung über das Portal booking.com vornehmen. Im Anschluss schicken sie dem Hotel über eine Nachrichtenanwendung eine verseuchte Datei, um das Hotel zu infizieren. Obiger Screenshot zeigt eine Werbung im Darknet, wo Mulis für die Aufgabe der Hotelbuchungen gesucht werden. Aber es gibt weitere Ansätze, auf die CPR im Dark Net in Untergrundforen gestoßen ist:
- Kriminelle Partnerschaften mit Hotels: Check Point Research gibt an, Anzeichen dafür gefunden zu haben, dass Hacker nach Hoteliers und Gastgebern suchen, die bereit sind, mit ihnen eine kriminelle Partnerschaft einzugehen und zugleich bei Booking.com ihr Hotel anbieten.
- Phishing-Bausätze: Ein weiterer Hacker hat ein Phishing-Kit zusammengestellt, dass auf Booking.com ausgerichtet wurde. Er hat es als Geschenk an russische Hacker-Banden verteilt.
- Gefälschte Nutzerkonten: Ein anderer Hacker sucht in einem Forum nach einem Software-Entwickler, der ein Programm schreiben würde, welches gefälschte Booking.com-Benutzerkonten erstellen, verifizieren, befüllen und zugehörige Immobilienbeschreibungen erstellen kann.
Die Sicherheitsforscher raten daher allen Kunden, bei booking.com künftig sehr genau hinzusehen, ob die Angebote echt sind und dies zu prüfen. Gleiches gilt für die Anbieter von Unterkünften, die prüfen müssen, ob Buchungen echt sind. Die Anbieter von Unterkünften müssen außerdem in eine robuste IT-Abwehr investieren, um ihre Systeme gegen Malware zu schützen.
Beim NDR gibt es zudem diesen Beitrag von Juni 2023, der auf ein Problem für Unterkünfte hinweist. Diese werden massiv durch Fake-Buchungen über booking.com geschädigt. Die Zimmer der Unterkunft werden belegt, aber die "Gäste" existieren nicht, reisen also auch nicht an. Warum diese Fake-Buchungen erfolgen, ist noch unklar, da diese nichts mit obigem Sachverhalt zu tun haben. Aber auch im NDR-Beitrag geht es ebenfalls um die obigen skizzierten Betrugsversuche an Nutzern von booking.com, denen Kreditkartendaten oder Zahlungsinformationen gestohlen werden sollen.
2015
"raten daher allen Kunden, bei booking.com künftig sehr genau hinzusehen, ob die Angebote echt sind und dies zu prüfen"
Nein, Kunden sollten IMMER ganz genau hinschauen. Egal welche Plattform / Services verwendet werden. Solche Angriffen sind überall möglich (in Variationen) und teilweise schon ewig in Gebrauch. Egal ob bei Amazon-Marketplace, bei booking.com oder beim Kauf auf eBay.
Ohne vorsichtig und skeptisch zu sein geht es nicht und es ist hilft auch ungemein mit den Abläufen der jeweiligen Plattform vertraut zu sein bzw. sich dort zu informieren (und nicht einfach blind das machen, was der angebliche Händler / Verkäufer behauptet). Man selbst muss auch immer seinen Teil zur Sicherheit beitragen.
(Gilt natürlich auch für die andere Seite, also die Mitarbeiter der Händler / Dienstleister. Im Fall von Booking ist auch eher bedauerlich, dass man nur von 'wir nehmen die Sicherheit sehr ernst' spricht, aber 2FA optional ist; insbesondere die Hotels.)
man loggt sich sowieso niemals aus ner Mail, ner Message oder sonst was direkt in solche Portale Shops etc. ein! Und Bingo Phishing zu 100% ausgeschaltet!
Phishing trifft immer die Richtigen zu 100%! Den Phishing ist zu 100% vermeidbar und das ohne sogar großen Aufwand, auch bei einem IQ einer Amöbe.
Guten Morgen,
das hat hier aber andere Dimensionen. Diese Nachrichten sind auch direkt im Booking.com Portal zu sehen und nicht nur als e-Mail. Ich habe selber so eine Nachricht bekommen und fande das sehr komisch, als e-Mail fand ich die Masche noch als "normal". Habe mich dann im Portal angemeldet und da war genau die gleiche Nachricht. Habe beim Hotel nachgefragt und diese bestätigen mir das meine Buchug okay ist und ich das nicht anklicken soll. Ich weiß jetzt aber auch das ich in diesem Hotel nicht mit Kreditkarten bezahlen werden, sondern lieber mit Bargeld! :-)
Ich wünsche ein schönes Wochenende!
Matthias
Wenn das auch im Portal angezeigt wird bedeutet das aber das Booking.com gehackt/infiltriert ist und dann müssten die das nach DSGVO melden und die Kunden informieren.
Immer noch nicht verstanden: Es werden die Hotels gehackt und deren Booking.com Zugänge in Booking.com missbraucht. Somit kann in/über booking.com kommuniziert werde. der Verbraucher kann nicht erkennen, ob es das Hotel, oder der Hacker ist.
Ein Problem könnte bei booking.com selbst liegen. So hatte ich in der Vergangenheit komplette Buchungsinformationen per Mail von booking.com erhalten, mit denen ich die Buchung hätte stornieren können. Ich hatte allerdings nicht gebucht. Jemand anderes hatte meine Mail Adresse verwendet. Booking.com hatte sich auf meine Beschwerde hin nie gemeldet, sondern nur auf deren Hilfe-Angebot verwiesen. Offenbar werden Mail-Adressen nicht verifiziert…
Hatte ich die Tage:
Bei der Suche einer Wohnung wurde mir anstatt eines Marklers eine täuschend echt wirkende Booking.com Email gesendet. Die gesendete Email sowie die Webseite war paktisch nicht als Fake zu erkennen – selbst als ich den Betrugsveruch bereits vermutete, und sehr genau hinsah.
Sie forderten von mir eine Voarbzahlung, mit Angebot einer kostenlosen Stornierung, sowie meinen Personalausweis und/oder Reisepass. Als ich ablehnte wurden mir als Beleg Personalausweis und Fotos des angeblichen Vermieters zugesendet.
"raten daher allen Kunden, bei booking.com künftig sehr genau hinzusehen, ob die Angebote echt sind und dies zu prüfen"
Der mögliche Betrug ist praktisch nur anhand der Domains in den Links zu erkennen.
Alles was von "booking.com" abweicht wird Fake sein.