ACHTUNG - eine perfide neue Betrugsmasche bei Buchungen via booking.com

[Jack Black]

Ich habe gestern abend eine "verdächtige" Email bekommen, die ich dann auch erst mal vorsichtig gelesen und analysiert habe, dann habe ich mit Google gesucht und gefunden, es ist tatsächlich eine ganz neue Masche, die Menschen zu betrügen.

Das ist diesmal so trickreich, dass ich Euch davor warnen wollte. Man bekommt also eine Email (vermeintlich von Booking.com) und im Betreff steht tatsächlich eine existierende Buchung bei Booking.com (das macht es so tückisch!) und auch in der Email selbst ist eine Header Grafiik von Booking.com und darin ein Link auf Booking.com inkl. der richtigen(!) Buchungsnummer dieser Buchung. Da das alles vertrauliche Daten aus Eurer Buchung sind, entsteht hier natürlich ganz besonders der Eindruck, dass diese Email auch von Booking.com selbst kommt.

Dem ist aber nicht so!

In der Email wird erstmal belangloses Zeug gelabert ("Hello Rainer Halstenbach. Thank you for booking with us, we would like to inform you that our check-in time is 3:00 PM and check-out time is 11:00 AM. ... bla bla bla"), aber weiter unten kommt dann die "schlechte Nachricht" (und ab da wird es gefährlich). Es wird nämlich behauptet, dass mit meinem hinterlegten Zahlungsmittel etwas nicht in Ordnung wäre und die Veriifizierung nicht geklappt hätte. Aus diesem Grunde wäre die Buchung gefährdet. Originaltext:

Dear Rainer Halstenbach, unfortunately your booking might be cancelled due to an error during verification of your payment method.

Usually in this case Booking asks to verify your payment method and confirm your identity as a holder.

You can verify your payment method through a personal link:

Und im nächsten Abschnitt kommt natürlich dann eine URL (die aber nicht verlinkt ist, sehr pfiffig!) die nach booking.com aussieht (aber wer Kenntnisse von Computern hat, der sieht, dass der Domainname falsch herum ist, das ist keine Subdomain von booking.com, sondern eine Subdomain von guest-ik43142.com  mit dem Namen "booking"), die aber nicht auf booking.com verweist. Die Tatsache, dass dieser URL nicht verlinkt ist, ist nochmal besonders perfide, es kommt dann nämlich nochmal der Hinweis, man solle nicht in Emails auf Links klicken. Stattdessen wird suggeriert, man solle diese URL kopieren und in den Browser eingeben - was natürlich auf dasselbe hinauskommt als hätte man darauf geklickt. Es erzeugt so herum nur ein falsches Sicherheitsgefühl.

Wenn man das macht (ich empfehle allerdings, es nicht zu probieren, wenn man nicht haargenau weiß, was man tut), dann kommt man auf eine getürkte booking.com Seite und soll Kreditkartendaten eingeben. Das darf man natürlich auf gar keinen Fall tun!!

Die absolute Besonderheit dieser Email besteht natürlich in dem Umstand, dass die Täter offensichtlich über echte Buchungsdaten verfügen. Das genannte Motel und auch die genannte Buchungsnummer sind echt und richtige Buchungsnummern. Das ist der Hammer. Ich habe natürlich auch sofort weiter geforscht, wie so etwas denn möglich sein kann. Der aktuelle Ermittlungsstand weißt darauf hin, dass es nicht (wie vermutet) eine Sicherheitslücke bei booking.com gibt (das wäre echt ein Trauerspiel), sondern man ist sich relativ sicher, dass Hacker nicht bei Booking.com, sondern bei den jeweiligen Motels und Veranstaltern (bei mir ein Motel aus Moab) deren Verwaltungssoftware gehacked haben, mit einiger Wahrscheinlichkeit werden dort auch die Daten von booking.com gespeichert sein (Buchungsnummer, Names des Gasts inkl. Email).

Also eine absolut perfide Email, die auch aktuell noch nicht als SPAM von den Providern eingestuft wird. Wer via booking.com bucht (das dürften viele sein) und wer so eine Email bekommt: bitte auf gar keinen Fall auf die genannte URL surfen und auf keinen Fall irgendwelche Kreditkartendaten irgendwo eingeben. Das ist Lug und Trug und Eure Buchung bei booking.com ist natürlich überhaupt nicht gefährdet. Mein grundsätzlicher Ratschlag lautet: nie, nie, nie auf irgendwelche Links in Emails klicken (oder auch kopieren und im Browser einfügen). Das ist IMMER Betrug.

[miwunk]

Das wundert mich jetzt aber doch sehr. Es ist seit vielen Wochen bekannt und wird in allen Foren verbreitet, dass booking.com gehackt wurde und diese betrügerischen e-mails verschickt werden. Booking.com selbst kann nichts dafür. Aber es ist eigentlich selbstverständlich, dass man solche links nicht anklickt.

[partybombe]

Ich habe ebenfalls so ein Email bekommen. Dort war neben den Buchungsdaten (sogar) bekannt, dass bereits mit KK bezahlt war. Laut Booking.com ist wohl der Hotelaccount geknackt worden. Daher soll das Hotel nicht über den Booking.com-Account sondern per Email kontaktiert werden.

[Tinerfeño]

Danke für den Hinweis, gut, dass ich da derzeit keine offenen Buchungen habe.

[Jack Black]

Das wundert mich jetzt aber doch sehr. Es ist seit vielen Wochen bekannt und wird in allen Foren verbreitet, dass booking.com gehackt wurde

1. In diesem Forum wurde es bisher nicht verbreitet. Habe auch mal schnell bei Angie geschaut, da steht auch nichts. Ich habe noch kein Forum gesehen (ich kenne natürlich auch nicht alle), wo genau davor gewarnt wird. Da Du ja auch diesen Thread hier sofort gesehen hast - wieso hast Du nicht selbst schon vor Wochen geschrieben, dass Dir bekannt ist, dass booking.com gehackt wurde?

2) Es ist eben zudem nicht richtig, dass Booking.com gehackt wurde. Richtig ist die Darstellung von "partybombe", dass (manche) Hotelaccounts geknackt wurden.

3) Ich habe gestern zum ersten Mal so eine Email bekommen. Und meine Buchung ist Monate alt.

4)

Aber es ist eigentlich selbstverständlich, dass man solche links nicht anklickt.

Genau das wird ja auch in der Email geschrieben, es ist nicht einmal ein aktiver Link in der Email drin. Das ist ja das gemeine, es wird einfach nur eine sehr richtig aussehende URL angegeben (irgendetwas MUSS man ja im Browser eingeben, wenn man seinen Account überprüfen will). In plain Text und nicht verklausuliert. Das sieht für nicht so versierte Anwender genauso aus wie eine richtige URL, die auf booking.com verweist (ohne ein Link zu sein). Das ist ja für Laien noch einmal besonders tückisch.

Ich sage ja auch immer, nicht einfach auf Links klicken. Aber so wie diese Email gemacht ist, da habe ich endgültig auch Verständnis, wenn da Laien drauf hereinfallen. Deswegen habe ich die Warnung hier auch geschrieben.

[Jack Black]

Danke für den Hinweis, gut, dass ich da derzeit keine offenen Buchungen habe.

Das ist nämlich noch einmal besonders ärgerlich. Selbst wenn man nicht auf diese Email hereinfällt - offensichtlich kennt jemand meine Hotelbuchung. Denn diese Daten sind richtig. Wer garantiert uns, dass nicht auch Kreditkartendaten ausgespäht wurden? Und auch so finde ich es ein Desaster, wenn jemand meine echte Buchungsnummer kennt. Da gibt es dringenden Verbesserungsbedard bei den betroffenen Hotels/Motels.

[miwunk]

"""wieso hast Du nicht selbst schon vor Wochen geschrieben, dass Dir bekannt ist, dass booking.com gehackt wurde""""
Wieso sollte ich es hier schreiben. Ihr, besonders Du, habt mir ja seit Monaten sowieso nie was geglaubt und nur mit Bosheiten geantwortet. Deshalb bin ich ja hier auch ausgestiegen. Aber Dein Post hat mit einfach zu sehr gereizt, nachdem Du ja sonst angeblich immer so ein Schnellmerker bist.
Aber ich bin schon wieder weg.

[Tinerfeño]

Danke für den Hinweis, gut, dass ich da derzeit keine offenen Buchungen habe.

Das ist nämlich noch einmal besonders ärgerlich. Selbst wenn man nicht auf diese Email hereinfällt - offensichtlich kennt jemand meine Hotelbuchung. Denn diese Daten sind richtig. Wer garantiert uns, dass nicht auch Kreditkartendaten ausgespäht wurden? Und auch so finde ich es ein Desaster, wenn jemand meine echte Buchungsnummer kennt. Da gibt es dringenden Verbesserungsbedard bei den betroffenen Hotels/Motels.

Ich hatte bei Booking.com durchaus schon mal in den USA den Fall, dass ich eine Nachricht in der App bekam, dass meine Kreditkarte von einem Motel nicht autorisiert wurden konnte vor Anreise - bei bestehender Buchung. Ist also normalerweise nichts ungewöhnliches, daher also ein sehr wichtiger Hinweis von dir!

[Jack Black]

Deshalb bin ich ja hier auch ausgestiegen.

Das hat ja super funktioniert...

Aber Dein Post hat mit einfach zu sehr gereizt, nachdem Du ja sonst angeblich immer so ein Schnellmerker bist.

Wer sagt das? Außerdem finde ich das in der Tat schnell reagiert, ich habe die Email gestern um 21:16 Uhr bekommen und sofort den Braten gerochen und Google angeworfen. In "allen Foren" wurde offensichtlich gar nichts dazu geschrieben, dann hätte es sowieso insbesondere auch hier stehen müssen, ist aber nicht. Sowieso ist noch gar kein Forum konkret benannt, wo die Problematik dargestellt und (wie hier) analysiert wurde. Aber sind ja vermeintlich "alle" Foren (was für ein herer Anspruch!).

Da musst Du Dich nicht wundern, wenn man Deinen Behauptungen mit einiger Skepsis begegnet und auch "partybombe" sowie "Tinerfeno" machen nicht den Eindruck, als wenn das ein alter Hut für sie wäre. Es ist wie immer, unnötig aggressiv von Dir (vollkommen ohne Not), keine neuen Infos, sinnfreie Anmache. "Zu sehr gereizt" - genau das! Kann man kaum besser formulieren.

[miwunk]

"""Sowieso ist noch gar kein Forum konkret benannt, wo die Problematik dargestellt und (wie hier) analysiert wurde"""
Sollte Dir tatsächlich nicht bekannt sein, oder hast Du es vergessen?, dass es nicht erlaubt oder zumindest nicht erwünscht ist, hier das eine oder andere Forum zu verlinken? Ich halte mich nur an die allgemeinen Regeln, die für Dich anscheinend nicht existieren.

[partybombe]

Wenn ich die Angelegenheit mit den Informationen von Booking.com verknüpfe, ist es wohl so, dass versucht wird an meine/die Kreditkarteangaben zu kommen. Die Täter versuchen- zumindest bei mir- mich zu animieren Daten irgendwo abzugeben. Es soll ja angeblich bei meiner Zahlung nicht geklappt haben. Die Originalzahlung wird wohl von Booking.com abgewickelt und an das Hotel weitergeleitet. Laut Booking.com hat das Hotel keinen Zugriff auf die KK-Daten.
Ich habe allerdings auch nichts mit dem Link gemacht, da es merkwürdig ist, dass ich von einem deutschen Hotel in englischer Sprache angeschrieben wurde.

[Culifrog]

Im August oder September, kurz vor unserer Reise in die USA, bekam ich auch so ein Mail. Doch bevor ich mir überlegen konnte, wie ich reagieren soll, erhielt ich von dem entsprechenden Hotel eine Nachricht, dass ich die vorherige ignorieren solle, sie seien gehackt worden.

Erst letzte Woche kam dann in den Nachrichten eine Warnung, dass dies die neuste Betrugsmasche sei. Bis dahin dachte ich, nur das eine Hotel sei betroffen gewesen, aber scheinbar wird die Methode im grossen Stil angewandt. Ich bin mir sicher, dass viele reinfallen, weil die Nachrichten so echt wirken und korrekte Daten enthalten.

Die Betrüger werden immer perfider. Vor ein paar Monaten schrieben mich solche an, dass sie im Besitz von brisanten Videos seien, sie die an meinen Arbeitgeber schicken und im Netz verbreiten würden, wenn ich nicht X Bitcoins bezahlen würde. Normalerweise lache ich über solche Mails und lösche sie, aber diesem war zum "Beweis", dass sie echt im Besitz meiner Daten seien, mein E-Mail-Passwort mitgeschickt. Es handelte sich um ein Passwort, das ich tatsächlich verwendete, allerdings nicht für die genannte E-Mail-Adresse. Das machte mir ziemlich Angst - nicht wegen den Videos, sondern dass die mein Passwort kennen. Das spricht einmal mehr dafür, nicht dasselbe Passwort für verschiedene Dienste zu verwenden.

Ich habe übrigens nicht bezahlt und es gibt keine schlimmen Videos von mir 😜

Liebe Grüsse
Gaby

[Jack Black]

Sollte Dir tatsächlich nicht bekannt sein, oder hast Du es vergessen?, dass es nicht erlaubt oder zumindest nicht erwünscht ist, hier das eine oder andere Forum zu verlinken? Ich halte mich nur an die allgemeinen Regeln, die für Dich anscheinend nicht existieren.

So ein Quatsch. Erstens gibt es hier keine "Regel", dass man keine Foren verlinken darf. Wahrscheinlich hast Du (wie so oft) nur irgendwann mal übertrieben, mir hat hier noch niemand gesagt, dass ich keine Foren verlinken darf. Der einzige Link, der nachweislich kaschiert wird, ist ein Link auf "Ibäh".

Zweitens habe ich auch nichts von "verlinken" geschrieben, man kann auch einfach so Foren nennen (wie beispielsweise "Angies Hawaiiforum", oder "das Schottlandforum von Dingenskirchen" usw.), da weiß auch jeder, was gemeint ist. Und last not least heißt  "alle" Foren (O-Ton miwunk), dass es auch hier schon berichtet wurde. Was aber nicht stimmt.

Was mich nur wundert, wenn Du doch nach eigener Aussage aus diesem Forum "ausgestiegen" bist, wie hast Du es dann geschafft, meinen Beitrag zu lesen?? Huhn und Ei Problem....
Wieso machst Du Dir das Leben so schwer? Was hast Du denn von der Stänkerei hier? Gar nichts.

[Jack Black]

Wenn ich die Angelegenheit mit den Informationen von Booking.com verknüpfe, ist es wohl so, dass versucht wird an meine/die Kreditkarteangaben zu kommen. Die Täter versuchen- zumindest bei mir- mich zu animieren Daten irgendwo abzugeben. Es soll ja angeblich bei meiner Zahlung nicht geklappt haben. Die Originalzahlung wird wohl von Booking.com abgewickelt und an das Hotel weitergeleitet. Laut Booking.com hat das Hotel keinen Zugriff auf die KK-Daten.

Alles 100% richtig. Genauso ist es. Nur der letzte Satz (das Hotel hat keinen Zugriff auf die KK-Daten) - da müssen wir booking.com einfach glauben und hoffen, dass das auch stimmt. Was die Täter ja insbesondere auch wissen wollen (glaube ich zumindest), das ist dieser 3-stellige Sicherheitscode auf der Rückseite. Den gibt man ja typischerweise erst bei Online Zahlungen an, quasi ein Ersatz für die PIN (die wird ja nur an POS Terminals verlangt). Ich habe es aber nicht getestet, man kann ja einfach mal den Link aus der Email in einem Browser eingeben und schauen, was dann passiert. Ich mache es aber deswegen nicht, weil bereits diese URL so gestaltet ist, dass ggf. erkennbar ist, wer den Link benutzt (dieser Domainanteil guest-ik43142 könnte ein eindeutiger Hash sein, der personenspezifisch ist). Ansonsten mache ich bei vergleichbaren Phishing Emails auch manchmal den Spass und rufe die Seite auf und trage dann frei erfundene Daten ein.

Eigentlich könnten IT-Kriminalbeamte da auch Daten eines sog. "Honeypotts" eingeben, also gezielt Daten, die ihrerseits nur dazu da sind, den Benutzer zu verfolgen. Aber mit einiger Sicherheit benutzen so Hacker ihrerseits auch VPNs usw., um ihre Identität zu verschleiern.

Ich habe allerdings auch nichts mit dem Link gemacht, da es merkwürdig ist, dass ich von einem deutschen Hotel in englischer Sprache angeschrieben wurde.

*lach* - da hast Du natürlich einen Vorteil gehabt. Meine Email kam angeblich vom "Scenic View Inn & Suites" in Moab. Ein gut aussehendes Motel südlich (etwas außerhalb von Moab) mit ansprechenden (recht großen) Zimmern und relativ moderaten Preisen (entweder der Lage geschuldet oder vielleicht auch nur zur Einführung, das Motel ist noch sehr neu). Hat auf booking.com immerhin ein Rating von 8,5. In der Email werde ich ja sogar mit meinem vollen, richtigen Namen angesprochen, das ist auch neu. Also die Hacker haben wirklich gründliche Arbeit geleistet.

[Jack Black]

Vor ein paar Monaten schrieben mich solche an, dass sie im Besitz von brisanten Videos seien, sie die an meinen Arbeitgeber schicken und im Netz verbreiten würden, wenn ich nicht X Bitcoins bezahlen würde. Normalerweise lache ich über solche Mails und lösche sie, aber diesem war zum "Beweis", dass sie echt im Besitz meiner Daten seien, mein E-Mail-Passwort mitgeschickt. Es handelte sich um ein Passwort, das ich tatsächlich verwendete, allerdings nicht für die genannte E-Mail-Adresse. Das machte mir ziemlich Angst - nicht wegen den Videos, sondern dass die mein Passwort kennen. Das spricht einmal mehr dafür, nicht dasselbe Passwort für verschiedene Dienste zu verwenden.

Meine Passwörter wurden schon mehrfach gehackt (nicht bei mir, sondern bei irgendwelchen leichtsinnigen Diensteanbietern). Das ist nervig. Inzwischen verlieren diese Passwörter aber immer mehr an Bedeutung, da die wirklich kritischen Anwendungen (Banking, PayPal, Amazon usw. etc. pp.) inzwischen alle auf 2-Wege Autorisierung setzen (Passwort plus meistens eine temporäre PIN via SMS o.ä.), das ist eine ziemlich sichere Schutzmaßnahme.

Diese Email mit den "brisanten" Videos kenne ich auch, ist aber zugegebenermaßen jetzt länger keine mehr gekommen. Manchmal habe ich nur zurückgeschrieben, dass ich gerne auch eine Kopie der Videos hätte, ich würde sie in meine Pornosammlung aufnehmen. Kam leider nie etwas an...

Man fragt sich aber wirklich, was sind das für Leute, die dann tatsächlich zahlen?? Was geht in denen vor?