Booking.com ist und bleibt eine sehr beliebte Buchungsplattform. Hotel gefunden, für gut befunden und schon gebucht. Alles noch mit kostenloser Stornierung und zusätzlich 10% Guthaben zurück. So schnell kanns gehen und der neue Urlaub steht in den Startlöchern. Doch was viele nicht wissen ist, dass auch Scams und Phishing gerade diese Plattform betreffen können. Wir reden hierbei aber nicht nur von klassischen Phishing Mails, die sich einfach als booking.com ausgeben und deren Logo benutzen. Nein! Scams, die direkt auf der Plattform geschehen sind aktuell sehr beliebt und betreffen viele Nutzer:Innen täglich. Booking.com tut dabei einiges dagegen, um gegen diese „Scammer“, zu Deutsch „Betrüger“, vorzugehen. Doch manchmal sind auch wir beeindruckt, wie gut einige Maschen heute sind. Wir bei Zettasecure sind nun auf einen neuen Phishing Scam über booking.com gestoßen, vor dem wir alle Leser: innen warnen möchten. So wird der Urlaub dann nicht doch zu teuer und man kann sorgenfrei vereisen.
Scam über Booking.com direkt?
Uns erreichte dieser Phishing Scam über einen Kunden, der leider darauf reingefallen ist und uns initial davon erzählte, dass er um 301€ über booking.com betrogen wurde. Wir waren von der ersten Erzählung so beeindruckt, dass doch ein genauerer Blick notwendig war. Deswegen ließen wir uns den Vorgang genau schildern. Anscheinend buchte unser Kunde über booking.com seine Hochzeitsreise. Dazu wählte er mehrere Hotels aus und plante nacheinander einen Trip. Wie immer mit kostenloser Stornierung, wofür nur die Kreditkarte hinterlegt werden musste. Das hatte er auch bereits und schon kam die klassische Bestätigung per Mail. Der Urlaub konnte also starten!
Achtung! Booking.com Phishing Scam voraus
Einige Zeit verging und der Urlaub rückte immer näher, da bekam unser Kunde eine Nachricht von dem Hotelaccount direkt, in jener er dazu aufgefordert wurde nochmals seine Kreditkarte zu bestätigen. Dabei wurde er direkt zu seiner bevorstehenden Buchung angesprochen die in ein paar Tagen auch wäre.
Nachdem er diese Nachricht erhalten hatte, dachte er sich nicht wirklich was dabei, denn sie kam über eine vertrauenswürdige Plattform, direkt vom Hotel Account, welches er gebucht hatte, und referenzierte auf eine wirkliche Buchung in ein paar tagen. Da geht man als Laie, als auch als Profi, nicht wirklich von einem möglichen Scam aus. Somit wurde der Link geöffnet und eine täuschend echte booking.com ähnelnde Seite ging auf. Auf der Seite fand sich dann das gebuchte Hotel, der vereinbarte (gebuchte) Preis und sogar die Felder waren mit seinen persönlichen Daten bereits ausgefüllt.
Die Seite funktionierte ident zu booking.com, hatte ein gültiges TLS-Zertifikat und auch einen Chat in der rechten unteren Ecke, falls man Hilfe benötigte. Auf Basis des Erscheinungsbildes somit nicht vom Original zu unterscheiden. Einen Betrug vermutet man hierbei sicherlich kaum. Es folgt nun die erneute Eingabe der Kreditkarte und schon war die vermeintliche Buchung bestätigt…. glaubte man.
Der Scam flog auf.
Einige Stunden (Acht um genau zu sein), nachdem die erste Nachricht des Hotels ankam, folgte die zweite Nachricht. Dabei wurde die erste revidiert und als Phishing Scam auf booking.com entlarvt. Scheinbar hat das Hotel die erste Nachricht also nicht geschrieben.
Leider war es zu diesem Zeitpunkt aber schon zu spät und das Geld war nicht mehr in der Hand des Kundens. Die 301€ waren somit weg und nun in den Händen der booking.com Scammer.
Was ist mit dem Hotel passiert?
Scheinbar wurde entweder der PC oder rein der booking.com Account des Hotels übernommen. Dann wurde im Hintergrund jede aufrechte Buchung abgezogen und eine dezidierte Phishing Seite für alle Kund: innen erstellt. Diese Seite war von einer Echten kaum zu unterscheiden und somit sehr schwer erkennbar. Unser Kunde kann absolut nichts dafür und ist absolut unschuldig. Nicht jeder vermutet hinter einer kleinen Nachricht vom eigenen Hotel einen Scam. Schon gar nicht auf booking.com.
Unsere Analyse des Booking.com Scams
Wir beschäftigten uns damit sehr genau und konnten die Masche bis nach Russland zurückverfolgen. Scheinbar werden zu Beginn, Hotels in den verschiedensten Regionen aktiv angegriffen, da sie als weiche Ziele gelten und viele zahlungskräftige Kund: innen haben. Dabei wird versucht der booking.com Account zu übernehmen. Wie das genau geschieht, können wir bis dato nicht sagen, gehen aber entweder von klassischem Phishing oder Malware auf den Endgeräten aus. Nachdem der Zugriff erfolgt ist, werden alle aktiven Buchungen kopiert und offensichtlich in eine Datenbank gespielt. Diese scheint dann mit den persönlichen Daten wie Vorname, Nachname, Preis, Hotel, etc. gefüllt zu werden. Sobald das erledigt ist, wird eine neue Domain registriert. Dabei werden oftmals die Endungen .date, .top, .info, .one und .com genutzt. Nach der Registrierung werden Subdomains mit „booking“, „confirmation“ oder „pay“, etc. angelegt. Wir konnten einen Hauptserver der Angreifer lokalisieren und tausende von Phishing Domains, die alle auf den gleichen Datenstamm zugreifen, ermitteln. Diese Domains werden zwar in Amerika registriert, finden sich aber bei einem Hoster in Russland (DDOS-GUARD LTD).
Diese Domains haben dann meist ein sehr kurzlebiges Dasein. Beispielsweise wurde die Angreifer Domain unseres Kunden am 02.09.2023 angelegt, am 03.09.2023 dann scharf geschalten, am 05.09.2023 dann für gezielte Angriffe benutzt und am 13.09.2023 wieder entfernt. Schaut man sich die DNS-Abfragen über einen Globalen DNS Resolver an, sieht man sofort, wann die Domain genutzt wurde und wie lange die Lebensdauer ist. Rund um den 04 und 05 September wurden anscheinend die Angriffe gefahren. Danach war sie dann verbrannt.
Was kann ich als betroffener tun?
Um effektive Maßnahmen gegen diesen booking.com Scam zu ergreifen, gehen Sie wie folgt vor:
- Ruhe bewahren. Sobald Sie es merken, ist es vermutlich schon zu spät. Nichts Unüberlegtes machen.
- Gehen Sie sofort zu Ihrer Bank und lassen Sie die Kreditkarte sperren.
- Versuchen Sie das Geld zurückzubuchen. Kontaktieren Sie dafür ebenfalls die Bank.
- Kontaktieren Sie sofort booking.com und setzen Sie das Unternehmen über den Vorfall in Kenntnis. Nennen Sie auch das Hotel und die Buchung, dass der Account gesperrt werden kann. In der Regel weiß das Hotel davon noch nicht Bescheid. (Nutzen Sie für den Kontakt diesen Link)
- Kontaktieren Sie das Hotel nur über die Telefonnummer auf deren Webseite. Nicht über booking.com oder deren E-Mail.
Unserer Erfahrung nach kennt Booking diese Fälle und geht rigoros dagegen vor. Das Geld sollten Sie ebenfalls wieder erhalten, sofern alles auf booking.com passiert ist. Das kann aber von Fall zu Fall variieren und wird Ihnen der Mitarbeiter des Helpdesks erklären. In dem Fall unseres Kunden wurde das Geld vollständig erstattet.
Wie erkenne ich als Hotelgast, dass es sich um einen Scam handelt?
Dieser Scam ist ausgesprochen schwer zu erkennen, da alles auf einer vertrauenswürdigen Plattform geschieht. Die einzige Möglichkeit präventiv was dagegen zu tun wäre genau zu schauen. Prüfen Sie die Links, die Ihnen zugesendet werden. Handelt es sich um die Hauptdomain booking.com oder doch um komische Zeichen? Hinterfragen Sie die Nachrichten der Hotels. Mussten Sie schon früher einmal diesen Vorgang durchführen? Wenn Sie sich nicht sicher sind, dann können Sie auch direkt anrufen. Fragen Sie einfach nach. Das kostet Ihnen 5 Minuten und dann sind Sie auf der sicheren Seite. Hotels geben deren Nummern immer auf der Hauptseite an.
Was kann ich als Hotel dagegen tun?
Nehmen Sie Cybersicherheit ernst. Setzen Sie sichere Passwörter, nutzen Sie MFA und sichern Sie Ihr Netzwerk mit geeigneten Maßnahmen ab. Das geht heute schon um wenige Euro und schützt Sie vor einer schlechten Nachrede und die eigenen Kund: innen vor einem großen Schaden. Wir bei Zettasecure sind auf Einrichtungen wie Influencer, Hotels und Co. spezialisiert und können Ihnen dabei helfen. Kontaktieren Sie uns heute noch und wir finden eine geeignete Lösung für Ihr Unternehmen.
