Phishing-Angriffe: BetrĂĽger missbrauchen Hotelbuchungsplattform booking.com

Mit auf Datendiebstahl spezialisierte Malware griffen Cyberkriminelle zunächst Hotelmitarbeiter an und verschickten dann über Booking betrügerische Mails.

In Pocket speichern vorlesen Druckansicht 80 Kommentare lesen

(Bild: fizkes/Shutterstock.com)

Update
Lesezeit: 4 Min.

Bei booking.com gibt es offenbar ein Phishing-Problem. Immer wieder erhielt die Redaktion von heise Security in den vergangenen Monaten Post von Lesern, die seltsame Nachrichten über die Buchungsplattform erhielten. So berichtet ein Leser, er sei von einem Hotel, das er für den kommenden Januar gebucht habe, über die Booking-App zur Bestätigung seiner Kreditkartendaten aufgefordert worden. Die täuschend echt nachgeahmte Bestätigungsseite enthielt die echten Buchungs- und Adressdaten, stahl dem Kunden jedoch insgesamt knapp 280 Euro mit betrügerischen Abbuchungen.

Einen anderen Leser machten die Betrüger mit einer gefälschten Booking-Mail glauben, dass sein Flug storniert worden sei – auch in dieser Nachricht befand sich ein Phishing-Link. Tückisch: Die Mails werden über die technische Infrastruktur des Buchungsdienstleisters versteckt, sind also nur sehr schwer als Betrugsversuche zu erkennen.

Hinter der Masche steckt offenbar eine Bande von Cybergangstern, die systematisch Hotels mit Malware infiziert und danach deren interne Zugänge zur Plattform von Booking missbraucht. So können die Kriminellen erheblich effizienter Zahlungsdaten abfischen als mit ungerichteten E-Mails: Sie haben nicht nur Zugriff auf echte Buchungsdaten, sondern können auch das vertrauenswürdige Nachrichtensystem des Buchungsanbieters nutzen. Solcherlei Phishing-Maschen gefährden auch Nutzer auf anderen Plattformen von Airbnb bis hin zum Portal "kleinanzeigen.de".

Wie der Sicherheitsdienstleister SecureWorks herausgefunden hat, schreiben die Betrüger zunächst Hotels an und geben sich als Gäste aus. Sie schieben den Hotelmitarbeitern dann eine Malware namens "Vidar" im Gewand angeblicher Reisedokumente unter. Die Schadsoftware ist nur auf den Datendiebstahl programmiert und entwendet die hoteleigenen Zugangsdaten zur Booking-Administrationsoberfläche. Die geklauten Daten schickt die Malware dann den Kriminellen an eine in einem Steam-Nutzerprofil hinterlegte IP-Adresse.

Die Vidar-Malware versteckt die IP-Adressen ihrer Kommando-Infrastruktur in Steam-Profilen

(Bild: heise Security / C.Kunz)

Im zweiten Schritt senden die Betrüger sehr glaubhafte E-Mails direkt über die Booking-Plattform an ihre eigentlich Opfer: Aktuelle und ehemalige Gäste der gephishten Hotels. Da die Kriminellen alle Buchungsdaten einsehen können, wirken die Nachrichten auch für geschulte Augen überzeugend – so erhöht sich die Erfolgswahrscheinlichkeit.

Wie SecureWorks recherchiert hat, läuft die Betrugsmasche mindestens seit März dieses Jahres. Dutzende Betroffene melden sich in Foren wie Reddit zu Wort und beklagen die scheinbare Untätigkeit des Portalbetreibers. Der jedoch kann wenig unternehmen, handelt es sich doch in allen bisher bekannten Fällen um Phishing gegen Partnerhotels und nicht um einen direkten Angriff auf Booking.com.

Das Unternehmen teilte heise Security in einer Stellungnahme mit, man sei sich der betrügerischen Aktivitäten auf der Plattform bewusst. Allerdings handele es sich um einen Angriff mit "sehr überzeugenden und ausgeklügelten Phishing-Taktiken", bei dem "weder die Backend-Systeme noch die Infrastruktur von Booking.com kompromittiert wurden", so das Unternehmen. Man arbeite "unermüdlich daran, unsere Unterkunftspartner dabei zu unterstützen, ihre Systeme so schnell wie möglich zu sichern und allen potenziell betroffenen Kunden entsprechend zu helfen". Der schwarze Peter liegt also bei den Partnerhotels und deren eigener IT-Sicherheit.

Phishing ĂĽber Booking-Buchungspartner (4 Bilder)

Phishing-Mail

Los geht es mit einer Phishing-Mail in der Booking-App, die augenscheinlich vom gebuchten Hotel stammt...
(Bild: Leserzusendung )

Nutzer der Booking-Plattform sollten, so der Betreiber, besondere Vorsicht walten lassen, wenn Zahlungsdaten auf unüblichen Wegen abgefragt würden, etwa per E-Mail, Chatnachricht, SMS, WhatsApp oder Telefon. Wie diese Vorsichtsmaßnahmen bei perfekt gefälschten Nachrichten aussehen sollen, die angebliche Hotelmitarbeiter über die Booking-App mit persönlicher Ansprache direkt an die Gäste verschicken, darüber schweigt sich der Plattformbetreiber aus.

So bleibt bei Betroffenen Ratlosigkeit und Frust zurĂĽck. Ein betrogener Leser schrieb der Redaktion, Booking habe "eine RĂĽckbuchungsanforderung allerdings schlicht an das Hotel weitergeleitet, das die Schuld wiederum auf Booking.com schiebt." Die Phishing-Seite sei Mitte November noch immer online gewesen.

Booking ist das dominierende Hotelbuchungsportal in der EU. Die EU-Kommission untersagte dem Unternehmen deswegen die Ăśbernahme eines Konkurrenten, weil sie eine Monopolstellung befĂĽrchtet.

Update

Wir haben eine mißverständliche Formulierung geändert und eine Bilderstrecke mit Screenshots des Phishing-Angriffs hinzugefügt.

(cku)