Warnung vor Cyberangriffen über das Kommunikationssystem von Booking.com

Wie wir IHA-Mitglieder bereits informierten, treten seit einigen Tagen in Frankreich vermehrt Betrugsversuche über die Kommunikationskanäle von Booking.com auf. Der französische Hotelverband GNI warnt konkret vor zwei verschiedenen Angriffsmethoden, die über das Booking.com-Extranet ausgeführt werden. Mittlerweile sind uns auch Fälle aus Deutschland, Österreich und Portugal bekannt!

Sollten Ihnen ähnliche Fälle wie nachstehend beschrieben begegnen, melden Sie diese bitte Herrn Tobias Warnecke, warnecke@hotellerie.de.

Das trojanische Pferd

Bei der ersten Cyberattacke handelt es sich um einen gut inszenierten Betrug von (falschen) Booking.com-Kunden. Die Methode ist relativ einfach:

Ein potentieller Gast, der über Booking.com beim Hotel bucht, fragt über die Kommunikationskanäle von Booking.com beim Hotel nach einer direkten E-Mail-Adresse des Hotels unter dem Vorwand, eine E-Mail mit einem angeblichen Link von Google Maps zu schicken, um den genauen Standort des Hotels für die Anreise zu erfahren. Meist ist die Rede davon, dass es sich um Senioren handelt, die Hilfe benötigen.

Anschließend senden die vermeintlichen Gäste eine E-Mail, in der sie das Hotel dazu auffordern, auf einen Link zu klicken (oder eine Anlage zu öffnen). Dieser Link enthält eine ausführbare Datei, die eine Reihe von Viren enthält. Diese übernehmen unter anderem in Webbrowsern gespeicherten Passwörter, Sitzungscookies und kommunizieren mit dem Remote-Server der Cyberkriminellen. Das genaue Ausmaß der Attacke ist bisher noch nicht bekannt.

In jedem Fall können PCs und das gesamte Netzwerk infiziert werden. Es scheint das Ziel des Angriffs darin zu bestehen, insbesondere den Hotelaccount im Extranet von Booking.com in die Hand zu nehmen, um den Hotelnamen, die Kontaktdaten sowie Zimmerverfügbarkeiten und Preise zu ändern. Bisher können nur einige wenige Antivirenprogramme den infizierten Link erkennen! Daher sollte jede Kundenanfrage, die diesem Muster folgt, als stark verdächtig angesehen werden.

Phishing von Kundendaten

Die zweite Cyberangriffsmethode ist etwas subtiler, da sie die Daten sowohl aus dem vorherigen Hackerangriff, als auch aus anderen Sicherheitslücken, die noch nicht entdeckt wurden, beziehen kann. Die Cyberkriminellen nehmen dabei direkt Kontakt mit Ihren Gästen, die über Booking.com gebucht haben auf, dies geschieht entweder über die Mailbox des Extranets oder über WhatsApp. In jedem Fall werden die Kunden aufgefordert, auf einen Link zu klicken und ihre Kreditkarte (erneut) anzugeben.

GNI hat Booking.com umgehend kontaktiert, um sicherzustellen, dass die Situation von deren Sicherheitsabteilung unter Kontrolle gebracht wird. Eine schriftliche Bestätigung hierüber ist bei der GNI noch nicht eingegangen.

Es ist daher dringend zu empfehlen, die Mitarbeiter in der Gästekommunikation über diese Fälle zu informieren und zu sensibilisieren. Zudem sollte so schnell wie möglich überprüft werden, ob ähnliche Anfragen bereits im eigenen Betrieb stattgefunden haben. Stellen Sie sicher, dass die von Ihnen eingesetzten Antivirenprogramme auf dem neuesten Stand sind.

Sollten verdächtige Nachrichten über das Kommunikationssystem von Booking.com bei Ihnen auftauchen, informieren Sie Booking.com:

https://partner.booking.com/de/hilfe/recht-sicherheit/sicherheit/ein-sicherheitsproblem-melden