Erst im vergangenen Sommer hatten Kriminelle mitten in der Urlaubszeit versucht, mit einer Welle von Phishing-E-Mails an sensible Daten von privaten Kunden der Buchungsplattform Booking.com zu gelangen. So hatte etwa die Verbraucherzentrale berichtet, an private E-Mail-Accounts seien unter dem Betreff „Erinnerung: Aktualisierung Ihrer Informationen erforderlich“ virenverseuchte Nachrichten versendet worden. In der Nachricht werden die Booking.com-Kunden informiert, sie müssten aufgrund der „neuesten Updates“ die Angaben zu ihrer Zahlungsmethode aktualisieren. Erfolge keine Aktualisierung, werde das Konto bei Booking.com geschlossen und dafür eine Bearbeitungsgebühr von 19,99 Euro erhoben.
Während diese Phishing-Kampagne auf Kunden der Buchungsplattform abzielte, die als Gäste Übernachtungen und Events über Booking.com gebucht hatten, haben Cyber-Kriminelle seit einiger Zeit nun auch die Hotels ins Visier genommen, die mit Booking.com zusammenarbeiten. So warnt etwa der Hotelverband Deutschland seine Mitglieder vor dreisten kriminellen Attacken: Mehrere Hotels erhielten E-Mails im Namen von Booking.com, in denen es um ein angebliches Feedback von Gästen ging, das den Hotels in einem passwortgeschützten Anhang zur Verfügung gestellt werde. Der entsprechende Anhang war mit Viren verseucht. Weiter mahnt der Hotelverband zur Vorsicht, denn bereits mehrfach hätten Mitglieder festgestellt, dass ihr für Auszahlungen von Booking.com eingerichteter Account im Extranet der Buchungsplattform gehackt worden sei. Die Hacker hätten dort die Angaben zur Bankverbindung geändert, an die Booking.com die Auszahlungen leisten sollte, und die Zahlungen so auf ihr eigenes Konto umgeleitet.
Auch vor Fake-Buchungen warnt der Verband der Hotelbesitzer. Der vermeintliche Gast, der über Booking.com gebucht hat, bittet das Hotel über das Kommunikationssystem von Booking.com, direkt per E-Mail oder WhatsApp mit dem Gast in Kontakt zu treten. Der Fake-Gast schildert einen vermeintlichen Anlass, der die Kommunikationsanfrage begründen soll, etwa ein während des Aufenthalts in dem Hotel geplanter Hochzeitsantrag, für den der Fake-Gast um Hilfe bittet. Lässt sich das Hotel darauf ein, senden die Fake-Gäste eine E-Mail, in der sie das Hotel auffordern, auf einen Link zu klicken oder einen Anhang zu öffnen. Mit der ausführbaren Datei werden einer Reihe von Viren heruntergeladen, die unter anderem in Webbrowsern gespeicherte Passwörter und Sitzungscookies auslesen, darauf abzielen, das gesamte Netzwerk zu infizieren, und mit dem Remote-Server der Cyber-Kriminellen kommunizieren.
Auch Cyber-Sicherheitsexperten mahnen inzwischen, das Hotel- und Gaststättengewerbe sei ins Visier von Hackern geraten. Sicherheitsforscher des israelischen Cyber-Sicherheitsanbieters Check Point veröffentlichten dazu entsprechende Zahlen: Im dritten Quartal 2023 seien jede Woche rund 1000 Attacken gegen die Branche gefahren worden. Analysen von Funden zu kriminellen Aktivitäten im Darknet lassen die Check-Point-Forscher zudem vermuten, dass mit dem Anstieg der auf Hotels gerichteten Angriffe um 5 Prozent im Vergleich zum Vorjahresquartal noch nicht der Peak in der Zunahme der Attacken auf die Branche erreicht ist. Auch die Check-Point-Sicherheitsexperten machen dabei Fake-Buchungen als ein Einfallstor für Malware-Angriffe aus.
Die Forscher skizzieren verschiedene Vorgehensweisen der Hacker; unter anderem buchen die Hacker über Booking.com bei einem Hotel und schicken dann über eine Nachrichtenanwendung eine verseuchte Datei, um das System des Hotels zu infizieren. Die Check-Point-Experten entdeckten zudem diverse im Darknet kursierende Anzeigen, in denen Cyber-Kriminelle auf verschiedenen Leveln Partner für Betrugsmaschen suchen, die unter Missbrauch der Buchungsplattform Booking.com zum Ziel haben, Daten, Kontoinformationen und/oder Zahlungen von Hotelgästen oder Hotelbetreibern zu stehlen. Sogar ein komplettes Phishing-Kit, dass auf Booking.com ausgerichtet sei, habe das Team im Darknet entdeckt. Eine neue Welle an Phishing-Kampagnen scheint sich demnach im Darknet
zusammenzubrauen. Die Sicherheitsforscher raten daher allen – Gästen wie Hoteliers gleichermaßen – bei Kommunikation, die vermeintlich von Booking.com kommt, künftig sehr genau zu prüfen, ob es sich um authentische Nachrichten von der Buchungsplattform handelt.
