Ungeklärte Phishing-Vorfälle rund um Booking.com

Hotels in Südtirol haben vermehrt mit kompromittierten Extranet-Zugängen bei Booking.com zu tun. Das geht aus einer E-Mail an die Mitglieder des Hotel- und Gastwirteverbands (HGV) hervor. Ein Extranet-Zugang soll einen gesicherten und kontrollierten Zugang und Datenaustausch mit einem Unternehmen ermöglichen, in diesem Fall Booking.com. Doch jetzt meldeten Betriebe dem HGV vermehrt Fälle, bei denen über Booking.com Phishing-E-Mails an Hotelgäste versandt wurden. Jetzt mutmaßen die Betroffenen über die Ursache, so steht etwa der HGV selbst oder deren Channel Manager (Wubook) in Verdacht.

Der HGV stehe im Austausch mit den betroffenen Betrieben. „Unsere Techniker haben Zugriff auf das Extranet, jedoch wird das Passwort alle paar Tage geändert, und es ist seit Jahren die höchste Stufe der Multi-Faktor-Authentifizierung (MFA) aktiviert“, heißt es in der Mitteilung an die HGV-Mitglieder. Laut dem HGV sollte Booking.com „den konkreten Benutzer“ identifizieren können, „der zum Zeitpunkt des Mailversands im Extranet eingeloggt war“.

„Überzeugende Phishing-E-Mails“

Von Booking.com heißt es: „Wir möchten darauf hinweisen, dass es kein Datenleck der Booking.com-Systeme gibt und Booking.com nicht gehackt wurde. Einige unserer Unterkunftspartner waren leider von sehr überzeugenden Phishing-E-Mails betroffen, die von professionellen Cyber-Kriminellen mit der Absicht verschickt wurden, die lokalen Computersysteme der Unterkünfte mit Malware zu übernehmen. In einigen Fällen hat dies zu einem unbefugten Zugriff auf das Booking.com-Konto der Unterkünfte geführt, was es den Betrügern ermöglichte, sich vorübergehend als die Unterkunft auszugeben und mit Gästen per E-Mail oder Chat zu kommunizieren“.

Als dringende Schutzmaßnahmen empfiehlt der HGV seinen Mitgliedern, das Versenden von Links im Extranet-Postfach zu deaktivieren, das Passwort zum Booking.com-Extranet-Zugang zu ändern, verknüpfte Geräte zu trennen und die Einstellungen für automatisierte Nachrichten zu kontrollieren. Zudem sollen die Verbandsmitglieder die bisherige Kommunikation mit Gästen auf „ungewöhnliche oder fremde Nachrichteninhalte“ untersuchen und potenziell betroffene Gäste über mögliche Phishing-Mails informieren. Außerdem empfiehlt der HGV, Mitarbeiter entsprechend zu schulen und erstmal über verdächtige Links in E-Mails drüberzuhovern, um sich die Zieladresse anzeigen zu lassen.

Immer wieder gibt es Berichte über Phishing-Vorfälle in Zusammenhang mit Booking.com. In der Vergangenheit gaben sich Betrüger als Hotelgäste aus und schafften es, Hotelmitarbeitern Malware unterzuschieben, um an Daten für den Zugang zum Extranet von Booking.com zu kommen. Anschließend konnten glaubhafte Phishing-Mails an Gäste verschickt werden, etwa mit dem Ziel, Hotelgäste dazu zu bringen, Anzahlungen zu tätigen. Anfang des Jahres gelang das beispielsweise beim V8-Hotel in Böblingen, wie SWR berichtete.

Booking.com investiert in Cybersicherheit

Nach eigenen Angaben hat Booking.com „erhebliche Investitionen“ in Cybersicherheit getätigt und will dies auch weiterhin tun. Booking.com beobachtet einen „deutlichen Rückgang bei einer Reihe von Taktiken, die bisher von Cyberkriminellen bevorzugt wurden: 2023 haben wir beispielsweise 1,5 Millionen gefälschte Phishing-Reservierungen aufgespürt und blockiert, 2024 sank diese Zahl der von uns blockierten Fälle auf 250.000“. Das deute laut Booking.com auf eine „erfolgreiche Abschreckung“ hin.

Booking.com weist darauf hin, dass es für Kunden und Unterkunftspartner für „einen einfachen Buchungs- und Reiseprozess“ mit „mehreren Möglichkeiten der Kommunikation gibt, darunter das interne Nachrichtensystem von Booking.com“ sowie einen E-Mail-Alias, den Partner erhalten. Das stelle den „geringsten Eingriff in die Privatsphäre der Reisenden dar“.

(mack)