Ungeklärte Phishing-Vorfälle rund um Booking.com

Inhaltsverzeichnis

Hotels in Südtirol haben vermehrt mit kompromittierten Extranet-Zugängen bei Booking.com zu tun. Das geht aus einer E-Mail an die Mitglieder des Hotel- und Gastwirteverbands (HGV) hervor. Ein Extranet-Zugang soll einen gesicherten und kontrollierten Zugang und Datenaustausch mit einem Unternehmen ermöglichen, in diesem Fall Booking.com. Doch jetzt meldeten Betriebe dem HGV vermehrt Fälle, bei denen über Booking.com Phishing-E-Mails an Hotelgäste versandt wurden. Jetzt mutmaßen die Betroffenen über die Ursache, so steht etwa der HGV selbst oder deren Channel Manager (Wubook) in Verdacht.

Inzwischen hat sich der CEO des HGV, Raffael Mooswalder, gegenüber heise online zum Vorfall gemeldet: "Die größere Angriffswelle hat sich inzwischen zwar abgeschwächt, dennoch gab es auch in den letzten Tagen vereinzelt weitere Vorfälle". Laut Mooswalder wurde die ursprüngliche Annahme verworfen, ein zentraler Masteraccount sei kompromittiert worden. Nicht ausgeschlossen werden könne dennoch, "dass sich die Ursache innerhalb unserer eigenen Systeme oder bei einem technischen Partner befindet".

Einer der Dienstleister, Yanovis, steht für eine Analyse der Vorfälle in engem Austausch mit dem HGV und dessen beauftragtem Cybersicherheitsunternehmen. "Inzwischen kann mit Sicherheit ausgeschlossen werden, dass es einen unbefugten Zugriff auf das zentrale Sammelkonto für das Backend von Booking.com gegeben hat. Diese Einschätzung wurde uns auch von Booking.com selbst bestätigt", heißt es vom Yanovis-CEO Elmar Premstaller. Ebenso könne derzeit ausgeschlossen werden, "dass die Systeme von Yanovis betroffen sind. Dennoch werden unsere Systeme weiterhin mit höchster Sorgfalt geprüft und analysiert, um wirklich alle Eventualitäten auszuschließen".

Das Unternehmen geht davon aus, "dass die Nachrichten an die Gäste nicht über das Extranet von Booking.com versendet wurden. Stattdessen wurde offenbar die virtuelle E-Mail-Adresse des jeweiligen Gastes verwendet. Die genaue Herkunft dieser Adressdaten ist derzeit noch Gegenstand weiterer Untersuchungen", so Premstaller. Das System von Booking.com ermögliche den Versand über die virtuellen Adressen grundsätzlich, wobei es "in der Verantwortung der Betriebe [liegt], entsprechende Einschränkungen in den Einstellungen vorzunehmen. Leider ist eine restriktive Konfiguration in Bezug auf den Nachrichtenversand bei Booking.com nicht standardmäßig aktiviert", bemängelt Premstaller.

Prüfung Datenabfrage

Zuvor hatte HGV-CEO Mooswalder erklärt, dass "Gegenstand intensiver Klärungen" ein einmaliger unautorisierter "Zugriff auf das Extranet – oder durch eine anderweitige Datenabfrage" möglich sei. E-Mails an die von Booking.com generierten Gastadressen könnten auch von externen Absendern verschickt werden. "Diese Nachrichten erscheinen im Extranet von Booking.com der Gäste bzw. Hotels (im gewohnten Layout – inklusive typischer Darstellung (z. B. schwarzer Hintergrund)". Ein Unterschied lasse sich lediglich im angezeigten Absender erkennen.

Der HGV stehe im Austausch mit den betroffenen Betrieben. "Unsere Techniker haben Zugriff auf das Extranet, jedoch wird das Passwort alle paar Tage geändert, und es ist seit Jahren die höchste Stufe der Multi-Faktor-Authentifizierung (MFA) aktiviert", heißt es in der Mitteilung an die HGV-Mitglieder. Laut dem HGV sollte Booking.com "den konkreten Benutzer" identifizieren können, "der zum Zeitpunkt des Mailversands im Extranet eingeloggt war".

"Überzeugende Phishing-E-Mails"

Von Booking.com heißt es: "Wir möchten darauf hinweisen, dass es kein Datenleck der Booking.com-Systeme gibt und Booking.com nicht gehackt wurde. Einige unserer Unterkunftspartner waren leider von sehr überzeugenden Phishing-E-Mails betroffen, die von professionellen Cyber-Kriminellen mit der Absicht verschickt wurden, die lokalen Computersysteme der Unterkünfte mit Malware zu übernehmen. In einigen Fällen hat dies zu einem unbefugten Zugriff auf das Booking.com-Konto der Unterkünfte geführt, was es den Betrügern ermöglichte, sich vorübergehend als die Unterkunft auszugeben und mit Gästen per E-Mail oder Chat zu kommunizieren".

Als dringende Schutzmaßnahmen empfiehlt der HGV seinen Mitgliedern, das Versenden von Links im Extranet-Postfach zu deaktivieren, das Passwort zum Booking.com-Extranet-Zugang zu ändern, verknüpfte Geräte zu trennen und die Einstellungen für automatisierte Nachrichten zu kontrollieren. Zudem sollen die Verbandsmitglieder die bisherige Kommunikation mit Gästen auf "ungewöhnliche oder fremde Nachrichteninhalte" untersuchen und potenziell betroffene Gäste über mögliche Phishing-Mails informieren. Außerdem empfiehlt der HGV, Mitarbeiter entsprechend zu schulen und erstmal über verdächtige Links in E-Mails drüberzuhovern, um sich die Zieladresse anzeigen zu lassen.

Immer wieder gibt es Berichte über Phishing-Vorfälle in Zusammenhang mit Booking.com. In der Vergangenheit gaben sich Betrüger als Hotelgäste aus und schafften es, Hotelmitarbeitern Malware unterzuschieben, um an Daten für den Zugang zum Extranet von Booking.com zu kommen. Anschließend konnten glaubhafte Phishing-Mails an Gäste verschickt werden, etwa mit dem Ziel, Hotelgäste dazu zu bringen, Anzahlungen zu tätigen. Anfang des Jahres gelang das beispielsweise beim V8-Hotel in Böblingen, wie SWR berichtete.

Booking.com investiert in Cybersicherheit

Nach eigenen Angaben hat Booking.com "erhebliche Investitionen" in Cybersicherheit getätigt und will dies auch weiterhin tun. Booking.com beobachtet einen "deutlichen Rückgang bei einer Reihe von Taktiken, die bisher von Cyberkriminellen bevorzugt wurden: 2023 haben wir beispielsweise 1,5 Millionen gefälschte Phishing-Reservierungen aufgespürt und blockiert, 2024 sank diese Zahl der von uns blockierten Fälle auf 250.000". Das deute laut Booking.com auf eine "erfolgreiche Abschreckung" hin.

Booking.com weist darauf hin, dass es für Kunden und Unterkunftspartner für "einen einfachen Buchungs- und Reiseprozess" mit "mehreren Möglichkeiten der Kommunikation gibt, darunter das interne Nachrichtensystem von Booking.com" sowie einen E-Mail-Alias, den Partner erhalten. Das stelle den "geringsten Eingriff in die Privatsphäre der Reisenden dar".

(mack)