Bei ihren Nachforschungen stellten die Sicherheitsexperten fest, dass die Betrüger scheinbar hoch organisiert vorgegangen und seit mindestens April 2025 aktiv sind. Der erste Schritt der Kriminellen ist ein Angriff auf die Systeme eines Hotels: Sie beschaffen sich nicht öffentlich zugängliche Kontaktdaten von Hotelmanagern, in der Regel durch die Suche auf Websites oder den Kauf von E-Mail-Listen in Foren wie dem russischsprachigen Forum LolzTeam, wo derartige Administrator-Datenbanken bei Großverkäufen nur „einige Dutzend Dollar” kosten, wie die Forscher feststellten.
Die Mitarbeiter erhalten dann geschickt gefälschte E-Mails, die wie Kundenanfragen aussehen und manchmal das Logo von booking.com verwenden. Diese E-Mails werden an die Reservierungs- oder Verwaltungs-E-Mail-Adresse des Hotels gesendet. Darin enthalten ist ein Link, der mittels ClickFix die Malware PureRAT installiert, wodurch die Angreifer beispielsweise die Log-in-Daten des Hotels für Buchungsplattformen wie booking.com entwenden können.
Auf diesem Weg erhalten die Hacker zum Beispiel Zugang zu einem echten booking.com-Konto, das die persönlichen Daten und Reservierungsdetails der Hotelgäste enthält. Diese werden wiederum dazu genutzt, die Kunden mit täuschend echten WhatsApp-Nachrichten oder E-Mails zu kontaktieren. Der Inhalt: Angeblich gebe es ein Sicherheitsproblem mit ihren Zahlungen. Dabei behaupten die Angreifer, dass booking.com ein Verfahren eingeführt habe, um Stornierungen zu verhindern. Der Gast wird dann auf eine gefälschte Website weitergeleitet, wo er seine Bankdaten eingeben soll – die dann direkt bei den Betrügern landen. Die Forscher von Sekoia schätzen, dass dieses Vorgehen sehr profitabel sein muss, da sie Hunderte von bösartigen Domains aufgespürt haben, die bereits mehrere Monate lang aktiv waren.
Darüber hinaus fanden die Sicherheitsforscher heraus, dass die Angreifer ihren Betrug nicht nur über booking.com betrieben haben, sondern auch andere Buchungsseiten wie Expedia imitierten. Das zeigt, wie weit verbreitet diese Masche mittlerweile ist. Der Grund hierfür dürfte leicht zu erraten sein: Dieses spezielle Betrugsmodell gibt den Angreifern zwei profitable Ansatzpunkte, denn sie nehmen sowohl die Kunden als auch die Hotels ins Visier. Umso wichtiger ist es, Vorsicht walten zu lassen, auch wenn Nachrichten aus vermeintlich vertrauenswürdigen Quellen stammen.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de
