Phishing über booking.com

Geschäftsreisen werden in Ihrem Unternehmen über booking.com gebucht? Dann ist Vorsicht geboten: Betrüger missbrauchen die Hotelbuchungsplattform für Phishing-Angriffe.

Wir erklären, was es mit dem booking.com Phishing auf sich hat und wie sich Unternehmen schützen.

Phishing ist beliebtes Angriffsmittel

Wenn es um Cyberattacken geht, ist Phishing für Cyberkriminelle sehr häufig das Mittel der Wahl. Mit Hilfe von E-Mail-Kampagnen versuchen sie immer und immer wieder, an sensible Daten wie Kreditkartennummern, Passwörter oder Bankverbindungen zu gelangen, indem sie sich als seriöse Unternehmen oder Personen ausgeben. Privatleute wie Unternehmen geraten hier gleichermaßen ins Visier.

In den vergangenen Monaten hat sich dabei wieder einmal gezeigt, wie intensiv die Cyberkriminellen für einen größtmöglichen Erfolg an ihren Methoden arbeiten. Das Ergebnis: Phishing-Angriffe sind immer ausgefeilter und zielgerichteter. Genau das ist eine der Kernaussagen, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) im BSI-Lagebericht 2023 festhält.

Eine aktuelle Phishing-Kampagne ist das beste Beispiel dafür, wie ausgeklügelt solche Phishing-Kampagnen inzwischen sind. Dieses Mal bedienen sich die Angreifer einer der bekanntesten Hotelbuchungsplattformen: Mit booking.com Phishing sorgen sie für Aufsehen.

booking.com Phishing: aktuelle Betrugsmasche

Dass es bei booking.com ein massives Phishing-Problem gibt, zeigt ein Blick auf Google: In den vergangenen Tagen und Wochen sind Suchanfragen wie „booking.com Phishing-Mail“, „Booking Phishing“ oder „Phishing booking.com“ in die Höhe gesprungen. Seit Juni/Juli 2023 lässt sich dieser Suchtrend beobachten. In den vergangenen Monaten berichten Opfer in Foren wie Reddit wiederholt von seltsamen Nachrichten, die sie über die Buchungsplattform erhalten haben.

Und genau hier liegt der Hase im Pfeffer: Die Phishing-E-Mails scheinen direkt über die technische Infrastruktur von booking.de verschickt zu werden. Dementsprechend sind sie auch nur sehr schwer als Betrugsversuch erkennbar. Stutzig machen kann daher eigentlich nur der Inhalt. Wie dieser aussehen kann, zeigen die folgenden Beispiele.

Opfer berichten von Phishing über booking.com

Der folgende Fall wurde uns zugetragen: Bei einer Hotelbuchung wurde die sonst immer funktionierende Kreditkarte mehrfach von dem Hotel/Booking als abgelehnt angemahnt. Das Opfer wurde aufgefordert, die Zahlung über einen Link vorzunehmen, da die Buchung ansonsten storniert würde. Dies erschien ihm glücklicherweise seltsam, sodass er seine Buchung stattdessen direkt über die Hotelseite vornahm – die Buchung mit derselben Kreditkarte funktionierte problemlos. Das Hotel hat die Booking-Buchung daraufhin storniert.

Auch die Redaktion von heise Security hat Zuschriften zu seltsamen Vorgängen bei Booking erhalten. Ein Opfer berichtet, dass er ein Hotelzimmer über Booking gebucht hatte und später über die Booking-App von dem Hotel zur Bestätigung seiner Kreditkartendaten aufgefordert worden sei. Über einen beigefügten Link gelangte er auf eine Bestätigungsseite mit den echten Buchungs- und Adressdaten – inzwischen ist davon auszugehen, dass es sich bei dieser Webseite um eine täuschend echte Nachbildung gehandelt haben muss. Das Ergebnis dieses Falls: Das Opfer verlor durch betrügerische Abrechnungen knapp 280 Euro. Ein anderer Leser soll eine gefälschte Booking-Mail mit der Information erhalten haben, dass sein Flug storniert worden sei. Auch in dieser E-Mail war ein Phishing-Link hinterlegt.

So läuft das booking.com Phishing ab

Aufgrund der Opferberichte haben sich Sicherheitsforscher bereits daran gemacht, der aktuellen Phishing-Kampagne auf den Grund zu gehen. Sie haben das Vorgehen der Cybergangster am Beispiel eines konkreten Falls wie folgt rekonstruiert:

1. Zunächst greifen die Betrüger Hotels an und infizieren diese systematisch mit Malware. Laut dem Sicherheitsdienstleister Secureworks geben sie sich dabei als ehemalige Gäste aus, die angeblich Reiseunterlagen im Hotel vergessen haben. Per E-Mail senden Sie einen Google-Drive-Link, über den die vermissten Reisedokumente zu sehen sein sollen. Der Klick auf den Link startet allerdings den Download eines ZIP-Archivs, das den Infostealer „Vidar“ – eine Malware – einschleust. Der Google-Drive-Link führt indessen zu einer 404-Fehlerseite.
2. Die eingeschleuste Malware greift in einem zweiten Schritt die hoteleigenen Zugangsdaten zur booking.com-Plattform ab und schickt diese Daten den Kriminellen an eine IP-Adresse, die in einem STEAM-Nutzerprofil hinterlegt ist.
3. Mit Hilfe der Zugangsdaten greifen die Angreifer auf Buchungsdaten zu und können das als vertrauenswürdig geltende Nachrichtensystem von booking.com verwenden. Dies nutzen sie aus, indem sie ihren eigentlichen Opfern – aktuellen und ehemaligen Gäste der gephishten Hotels – sehr glaubhaft erscheinende E-Mails mit Phishing-Links zusenden.

Das große Problem: Dadurch, dass die Betrüger die echten Buchungsdaten einsehen können, erscheinen die Phishing-E-Mails derart glaubwürdig, dass sie selbst für geübte Anwender nur schwer zu erkennen sind. Die Masche ist demnach für die Angreifer extrem erfolgsversprechend.

Stellungnahme von Booking zu den Phishing-Angriffen

Die Sicherheitsforscher von Secureworks gehen davon aus, dass die Betrugsmasche nicht erst seit Juni/Juli 2023, sondern bereits seit März 2023 läuft. Betroffene kritisieren, dass der Portalbetreiber nicht auf die Berichte reagiert. Dem sind laut einer Stellungnahme an heise Security allerdings die Hände gebunden, da die Angriffe auf die Partnerhotels abzielen und nicht direkt auf die booking.com-Plattform. Man arbeite „unermüdlich daran, unsere Unterkunftspartner dabei zu unterstützen, ihre Systeme so schnell wie möglich zu sichern und allen potenziell betroffenen Kunden entsprechend zu helfen“, zitiert heise Security aus der Stellungnahme.

Der Umgang von Booking mit dieser heiklen Situation stößt vielen Betrugsopfern sauer auf. Sie bleiben,, wie es scheint, auf den Kosten sitzen: Booking soll die Rückbuchungsanforderung eines Opfers schlicht an das Hotel weitergeleitet haben, das die Schuld wiederum auf booking.com schob. Die in diesem Fall verwendete Phishing-Seite sei Mitte November 2023 noch immer online gewesen – Booking scheint die zuständigen Behörden demnach nicht informiert zu haben.

Wie sich Unternehmen vor Booking-Phishing schützen

Das bedeutet: Im ersten Zuge sind Hotelanbieter, im zweiten Zuge die Buchenden in der Pflicht, besondere Vorsicht walten zu lassen. Hotelbetreiber sollten alle Mitarbeiter über die Booking-Phishing-Masche informieren, sodass diese möglichst keine verdächtigen E-Mail-Anhänge öffnen und der Malware dadurch unwissentlich Zugang zum System erteilen. Zudem sollten Hotels unbedingt die Multi-Faktor-Authentifizierung für ihren booking.com-Account einrichten. Buchende sollten dagegen bei sämtlichen Nachrichten, die von booking.com übermittelt werden, äußerste Wachsamkeit walten lassen.

Daraus ergibt sich auch die wichtigste Hausaufgabe für Unternehmen: Sie sollten ebenfalls sämtliche Mitarbeiter, die über booking.com Hotelzimmer für Geschäftsreisen buchen, über die Gefahr des booking.com Phishings informieren. Geben Sie ihnen am besten die folgenden Tipps mit an die Hand, um Ihr Unternehmen vor Phishing-Angriffen über booking.com zu schützen:

• Seien Sie misstrauisch, wenn Sie eine E-Mail von booking.com erhalten, die Sie nicht erwartet haben.
• Prüfen Sie den Absender der E-Mail sorgfältig. Ist die E-Mail wirklich von booking.com?
• Seien Sie besonders vorsichtig, wenn Zahlungsdaten abgefragt werden. Dies kann durchaus auch auf unüblichen Wegen erfolgen, etwa per E-Mail, Chatnachricht, SMS, WhatsApp oder Telefon.
• Klicken Sie niemals auf Links in E-Mails von booking.com. Rufen Sie die Website von booking.com stattdessen direkt im Browser auf.
• Geben Sie niemals Ihre Kreditkartennummer, Ihr Passwort oder andere sensible Daten in E-Mails ein.

Wie erwähnt, bleibt die Problematik der perfekt gefälschten Nachrichten allerdings bestehen. Der Plattformbetreiber selbst nennt dazu leider keine wertvollen Tipps. Eine Möglichkeit wäre, Hotelbuchungen vorerst nur noch direkt über die Hotel-Webseiten vorzunehmen – was laut Erfahrungsberichten sogar teilweise auch finanziell günstiger ist.

IT-Dienstleister helfen beim Kampf gegen Phishing

Die Phishing-Angriffe über booking.com sind ein Beispiel von vielen, die verdeutlichen, wie groß die Bedrohung durch Cyberangriffe tatsächlich ist. Unternehmen sollten daher nichts unversucht lassen, sich vor diesen Angriffen zu schützen. Wie? Indem Sie alle zur Verfügung stehenden Sicherheitsmaßnahmen ergreifen – natürlich sinnvoll in einem IT-Sicherheitskonzept gebündelt und abgestimmt auf die individuellen Anforderungen des Unternehmens.

IT-Dienstleister können dabei eine wichtige Rolle spielen, indem Sie Unternehmen bei der Umsetzung von Schutzmaßnahmen unterstützen. Das beginnt mit der Erarbeitung eines Sicherheitskonzept, führt über die Implementierung sinnvoller Maßnahmen wie der Integration von Sicherheitslösungen und der Überwachung der IT-Infrastruktur auf Phishing-Versuche und reicht bis hin zur Schulung der Mitarbeiter zum Thema Phishing. Sie möchten mehr erfahren? Dann kontaktieren Sie einen unserer Experten aus dem IT-SERVICE.NETWORK!

---

Weiterführende Informationen:
heise, Secureworks
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.