ACHTUNG - eine perfide neue Betrugsmasche bei Buchungen via booking.com

[partybombe]

Ich habe allerdings auch nichts mit dem Link gemacht, da es merkwürdig ist, dass ich von einem deutschen Hotel in englischer Sprache angeschrieben wurde.

*lach* - da hast Du natürlich einen Vorteil gehabt. Meine Email kam angeblich vom "Scenic View Inn & Suites" in Moab. Ein gut aussehendes Motel südlich (etwas außerhalb von Moab) mit ansprechenden (recht großen) Zimmern und relativ moderaten Preisen (entweder der Lage geschuldet oder vielleicht auch nur zur Einführung, das Motel ist noch sehr neu). Hat auf booking.com immerhin ein Rating von 8,5. In der Email werde ich ja sogar mit meinem vollen, richtigen Namen angesprochen, das ist auch neu. Also die Hacker haben wirklich gründliche Arbeit geleistet.

Die Email an mich enthält nicht nur meine Klarnamen, auch Adresse, Emailadresse, Hoteldaten, Buchungsnummer, BuchungsPin und sie kam über den Booking.com-Account (steht sogar heute noch beim Hotel als Hotelnachricht) - daher war sie im Prinzip erst einmal glaubwürdig.

[Jack Black]

Die BuchungsPIN (ich kenne meine gar nicht, zumindest nicht ad hoc) - wow. Das sieht dann fast so aus, als wenn diese Email wirklich von booking.com kommt. Vielleicht haben die auch eine Schwachstelle? Oder müssen die Hotels die PIN auch kennen? Ich habe keine Ahnung, ich weiß nicht einmal, wofür die da ist, aber gesehen habe ich sie auch schon.

Meine BuchungsPIN steht nicht in meiner Email, meine Adresse auch nicht. Ich weiß jetzt allerdings auch nicht, ob meine Adresse überhaupt bei booking.com hinterlegt ist. Das müßte ich mal checken.

P.S.: Was für eine Adresse (URL) ist denn in Deiner Email angegeben, wo Du die Kreditkartendaten "überprüfen" sollst? Da trennt sich endgültig die Spreu vom Weizen.

[Jack Black]

Man kann natürlich auch so tricksen (Beispiel):

http://www.booking.com

Sieht aus wie booking - ist aber Google. Sicherheit hat man nur, wenn die URL als Text und nicht als Link vorliegt:

Code: [Auswählen]

http://www.booking.com
Was genau steht in der Email und wie steht es in der Email?

[mrh400]

Man kann natürlich auch so tricksen (Beispiel):

http://www.booking.com

Wenn ich am PC mit der NMaus draufgehe (ohne zu klicken), sehe ich, wohin mich der Link führen will. Beim Handy/Tablet habe ich diese Sicherheit allerdings nicht. Ein Grund mehr, möglichst wenig mit den mobilen Geräten zu agieren.

[lonewolf81]

Wenn ich am PC mit der NMaus draufgehe (ohne zu klicken), sehe ich, wohin mich der Link führen will. Beim Handy/Tablet habe ich diese Sicherheit allerdings nicht. Ein Grund mehr, möglichst wenig mit den mobilen Geräten zu agieren.

Du könntest aber etwas länger auf den Link mit dem Finger drücken, eine Sekunde oder so, dann kommt in der Regel ein Kontextmenü was Dich fragt was Du mit dem Link machen sollst und dort steht dann auch der tatsächliche Ziellink. Aber ja, am PC ist es natürlich einfacher.

[partybombe]

Ich habe gerade noch einmal nachgeschaut: die Adresse steht nicht in der Fake-Email sondern lediglich Vor- und Nachname ohne Straße und Ort.
Sorry
Sieht aber unabhängig davon recht echt aus, da z.B auch erwähnt wird, dass das Hotel bereits mit KK bezahlt wurde. Mich hat - wie erwähnt - der englischer Text bei einem deutschen Hotel stutzig gemacht.Außerdem der 48 Stunden-Druck handeln zu müssen.

[partybombe]

Übrigens gibt es etwas Neues oder leider ehr nicht:
Booking.com versprach nach dem Telefonat und dem anschließenden schriftlichen Kontakt mit Übermittlung des Fake-Emails, kurzfristig um Rückmeldung durch die Sicherheitsabteilung. Auch das Hotel sollte sich direkt bei mir noch melden. Nachdem eine Woche nichts geschah, habe ich eine Erinnerung geschrieben. Nach ein paar Tagen kamen ein paar dünne Zeilen ohne Inhalt, es werde noch geprüft. Inzwischen sind schon wieder ein paar Tage vergangen - ohne was Neues und zwar weder vom Hotel noch von der Sicherheitsabteilung.
Mal sehen, wie es weitergeht bzw. ob überhaupt noch was kommt.

[Jack Black]

Wenn ich am PC mit der NMaus draufgehe (ohne zu klicken), sehe ich, wohin mich der Link führen will.

Natürlich, eigentlich ist das total primitiv. Aber auch wenn man es nicht glauben mag - es gibt genügend Menschen, die darauf klicken würden, ohne Sinn und Verstand und ohne überhaupt hinzuschauen. Eigentlich habe ich auch nur wenig Mitleid mit sog. "Phishingopfern", da gehört wirklich ein gerütttelt Maß Naivität dazu, auf so einen Mist hereinzufallen.

Aber die Art dieser Attacke ist neu und der Umstand, dass da echte Buchungsdaten drin stehen, das macht diese Attacke besonders perfide und deswegen habe ich mich auch dazu entschieden, davor zu warnen. Gegen jede einzelne Phishingattacke kann man eigentlich gar nicht warnen, so viele gibt es davon inzwischen. Aber das hier ist eine neue Dimension - wenn auch das Nadelöhr das Nadelöhr bleibt, nämlich die URL, auf die der Anwender verzweigen soll. Darum und nur darum geht es und dann hängt alles davon ab, wie gut die getürkte Seite gefälscht wurde.

[Jack Black]

Mal sehen, wie es weitergeht bzw. ob überhaupt noch was kommt.

Ich würde einfach mal behaupten, da kommt nichts mehr. Was soll Booking denn auch machen? Das ist ja gar nicht deren Sache, die können überhaupt nichts daran ändern, genau genommen sind sie selbst auch Opfer. Die finden das bestimmt auch superklasse, wenn die Motels die vertraulichen Daten unzureichend schützen und sich die Verwaltungssoftware hacken lassen. Das ist ja auch so gemein daran, dass man Booking.com für die Schwachstelle hält, aber die sind es gar nicht. Die können rein gar nichts daran ändern. Ok, man könnte darüber sinnieren, ob es wirklich datentechnisch notwendig ist, dass ein Motel die Buchungsnummer des Vorgangs bei Booking.com "kennt". Andererseits ist das wahrscheinlich der eindeutige Zugriffsschlüssel, der auch für die Motels zu den Daten führt. Die müssen und wollen ja auch wissen, wer wann kommt.

Wenn überhaupt, dann muss das betroffene Motel/Hotel eine Stellungnahme abgeben, wie es denn sein kann, dass ihre Kundendaten ins Internet gelangt sind. Hast Du da auch mal hingeschrieben? Die müßten eigentlich rot anlaufen....

[partybombe]

Mal sehen, wie es weitergeht bzw. ob überhaupt noch was kommt.

Ich würde einfach mal behaupten, da kommt nichts mehr. Was soll Booking denn auch machen? Das ist ja gar nicht deren Sache, die können überhaupt nichts daran ändern, genau genommen sind sie selbst auch Opfer. Die finden das bestimmt auch superklasse, wenn die Motels die vertraulichen Daten unzureichend schützen und sich die Verwaltungssoftware hacken lassen. Das ist ja auch so gemein daran, dass man Booking.com für die Schwachstelle hält, aber die sind es gar nicht. Die können rein gar nichts daran ändern. Ok, man könnte darüber sinnieren, ob es wirklich datentechnisch notwendig ist, dass ein Motel die Buchungsnummer des Vorgangs bei Booking.com "kennt". Andererseits ist das wahrscheinlich der eindeutige Zugriffsschlüssel, der auch für die Motels zu den Daten führt. Die müssen und wollen ja auch wissen, wer wann kommt.

Wenn überhaupt, dann muss das betroffene Motel/Hotel eine Stellungnahme abgeben, wie es denn sein kann, dass ihre Kundendaten ins Internet gelangt sind. Hast Du da auch mal hingeschrieben? Die müßten eigentlich rot anlaufen....

Ich hatte (bisher) lediglich Kontakt mit Booking.com. Diese schrieben mir, dass ich nicht das Hotel kontaktieren soll, da möglicherweise deren Email-/Hotel-Account geknackt ist und der Hacker mitlesen würde. Booking.com schrieb mir auch, dass sie Kontakt zum Hotel aufgenommen hätten, die mich auf anderem Wege kontaktieren und sich entschuldigen (würden). Auch deren Sicherheitsabteilung würde sich bei mir melden; dies schrieb Booking.com erneut noch einmal als ich nachfragte.
Von daher werde ich jetzt zwar abwarten, aber im weiteren Verlauf bei Booking.com dranbleiben; denn wer etwas verspricht muss es halten. Und diese haben versprochen die Sache aufzuklären und sich dann zu melden.

Warum das Hotel die Booking.com-Buchungsnummer benötigt, erschließt sich mir genauso wenig, wie die Frage, warum die Kontaktaufnahme über den Booking.com-Account erfolgen kann und warum meine Email-Adresse dem Hotel bekannt ist, wenn alles über Booking.com läuft. Ist der Account zwischen dem Hotel und Booking.com denn nicht mit 2-Faktor geschützt?
Notwendig ist doch nur, wer für wann in welchem Zimmer gebucht hat und ob noch zu zahlen ist. Ich gehe im Augenblick davon aus das die KK-Daten nicht bekannt sind; in meinem Konto ist alles ruhig. Das sind alles Fragen, die in Booking.com stellen werde; ein aussitzen ist nicht akzeptabel. Die Provision, die die solche Plattformen einstreichen, soll laut Tobias Warnecke, Geschäftsführer vom Hotelverband Deutschland, zwischen 15 und 40 Prozent liegen.

[lonewolf81]

Warum das Hotel die Booking.com-Buchungsnummer benötigt, erschließt sich mir genauso wenig, wie die Frage, warum die Kontaktaufnahme über den Booking.com-Account erfolgen kann und warum meine Email-Adresse dem Hotel bekannt ist, wenn alles über Booking.com läuft. Ist der Account zwischen dem Hotel und Booking.com denn nicht mit 2-Faktor geschützt?
Notwendig ist doch nur, wer für wann in welchem Zimmer gebucht hat und ob noch zu zahlen ist. Ich gehe im Augenblick davon aus das die KK-Daten nicht bekannt sind; in meinem Konto ist alles ruhig. Das sind alles Fragen, die in Booking.com stellen werde; ein aussitzen ist nicht akzeptabel. Die Provision, die die solche Plattformen einstreichen, soll laut Tobias Warnecke, Geschäftsführer vom Hotelverband Deutschland, zwischen 15 und 40 Prozent liegen.

Eine Kontaktaufnahme ohne Kenntnis der E-Mail ist durchaus realistisch. Das Hotel schickt an eine definierte Adresse ober über ein Onlinesystem bei booking.com eine Mail mit der Buchungsnummer. booking.com leitet diese Nachricht dann an Dich als Kunden weiter. Dafür muss das Hotel Deine E-Mail nicht wissen, aber es muss eine eineindeutige Zuordnung innerhalb der booking.com - IT geben. Und wenn das Hotel gehackt wird und sich das Hotel gegenüber booking.com korrekt legitimiert, dann leitet booking.com die Nachricht an Dich weiter. Wie soll es auch die Illegitimität der Nachricht erkennen?

Im Übrigen hat mich desöfteren auch schon ein Hotel beim Check-In nach meiner E-Mail gefragt, obwohl diese bei booking.com natürlich bekannt ist. Da hat dann kein Datentransfer stattgefunden.

[partybombe]

Warum das Hotel die Booking.com-Buchungsnummer benötigt, erschließt sich mir genauso wenig, wie die Frage, warum die Kontaktaufnahme über den Booking.com-Account erfolgen kann und warum meine Email-Adresse dem Hotel bekannt ist, wenn alles über Booking.com läuft. Ist der Account zwischen dem Hotel und Booking.com denn nicht mit 2-Faktor geschützt?
Notwendig ist doch nur, wer für wann in welchem Zimmer gebucht hat und ob noch zu zahlen ist. Ich gehe im Augenblick davon aus das die KK-Daten nicht bekannt sind; in meinem Konto ist alles ruhig. Das sind alles Fragen, die in Booking.com stellen werde; ein aussitzen ist nicht akzeptabel. Die Provision, die die solche Plattformen einstreichen, soll laut Tobias Warnecke, Geschäftsführer vom Hotelverband Deutschland, zwischen 15 und 40 Prozent liegen.

Eine Kontaktaufnahme ohne Kenntnis der E-Mail ist durchaus realistisch. Das Hotel schickt an eine definierte Adresse ober über ein Onlinesystem bei booking.com eine Mail mit der Buchungsnummer. booking.com leitet diese Nachricht dann an Dich als Kunden weiter. Dafür muss das Hotel Deine E-Mail nicht wissen, aber es muss eine eineindeutige Zuordnung innerhalb der booking.com - IT geben. Und wenn das Hotel gehackt wird und sich das Hotel gegenüber booking.com korrekt legitimiert, dann leitet booking.com die Nachricht an Dich weiter. Wie soll es auch die Illegitimität der Nachricht erkennen?

Im Übrigen hat mich desöfteren auch schon ein Hotel beim Check-In nach meiner E-Mail gefragt, obwohl diese bei booking.com natürlich bekannt ist. Da hat dann kein Datentransfer stattgefunden.

Ich hoffe mal, dass wenig Datentransfer von Booking.com zum Hotel stattgefunden hat. Denn es wäre für mich schon erschreckend, wenn das Hotel und vor allem dadurch der Hacker, meine Daten zu Kreditkarte, Adresse, Emailadresse, vielleicht auch Geburtsdatum hätte.
Erschreckend ist für mich trotzdem, dass Booking.com wohl keinerlei ausreichenden Schutz hat, damit mit einem gehackten Hotelaccount der Kunde auf dem offiziellen Booking.com-Weg eine solche Fakenachricht erhält. Von daher bin ich schon auf die Erklärungen und neuen Schutzmaßnahmen von Booking.com gespannt, denn selbst für den Vorsichtigen waren zu viele Daten echt. Ich weiß nicht, wie ich bei einem Schreiben in korrekter deutscher Sprache (bei mir war es Englisch) reagiert hätte, obwohl ich nie auf Links direkt antworte. Blöd ist nämlich dabei, dass der Link ja auch im Booking.com-Account zu finden ist.

[lonewolf81]

Wie soll denn eine solche Schutzmaßnahme realistisch aussehen, wenn der oder die Hacker die Identität des Hotels übernommen haben? Ich kann den Unmut verstehen, aber jede möchte gerne einfache und komfortable Buchungsprozesse und Bequemlichkeit und IT-Sicherheit muss man immer gegeinander abwägen. Ich habe natürlich keinen Einblick in die internen Prozesse bei booking.com und es ist auch gut möglich, dass man da nachlässig war, aber es ist glaube ich unstrittig, dass es einen Kommunikationskanal vom Hotel zum Endkunden geben muss. Dafür gibt es zwei Möglichkeiten: 1) Das Hotel kontaktiert Dich direkt, dafür muss es Deine E-Mail-Adresse haben. Auch diese Nachrichten könnte ein Hacker faken. 2) Das Hotel kontaktiert Dich über das System von booking.com. Das Hotel hat dann Deine E-Mail-Adresse nicht, muss sich aber gegenüber booking.com legitimieren. Wenn der Hacker das schafft, dann hat booking.com praktische keine Möglichkeit das zu verhindern.

[partybombe]

Wie soll denn eine solche Schutzmaßnahme realistisch aussehen, wenn der oder die Hacker die Identität des Hotels übernommen haben? Ich kann den Unmut verstehen, aber jede möchte gerne einfache und komfortable Buchungsprozesse und Bequemlichkeit und IT-Sicherheit muss man immer gegeinander abwägen. Ich habe natürlich keinen Einblick in die internen Prozesse bei booking.com und es ist auch gut möglich, dass man da nachlässig war, aber es ist glaube ich unstrittig, dass es einen Kommunikationskanal vom Hotel zum Endkunden geben muss. Dafür gibt es zwei Möglichkeiten: 1) Das Hotel kontaktiert Dich direkt, dafür muss es Deine E-Mail-Adresse haben. Auch diese Nachrichten könnte ein Hacker faken. 2) Das Hotel kontaktiert Dich über das System von booking.com. Das Hotel hat dann Deine E-Mail-Adresse nicht, muss sich aber gegenüber booking.com legitimieren. Wenn der Hacker das schafft, dann hat booking.com praktische keine Möglichkeit das zu verhindern.

Ich bin natürlich keine Expertin. Doch erscheint mir eine Zwei-Faktor-Autorisierung, also eine weitere Autorisierung des Accounts des Hotels gegenüber Booking.com durch ein anderes Gerät sinnvoll. Denn auch bei mir ist eine solche bei mehreren Accounts in Nutzung und erschwert den Angriff von außen. Es ist leider auffällig, dass wohl massenhaft unterschiedliche Hotelaccounts bei Booking.com geknackt wurden. Offensichtlich gehen die Hotels im großen Stil sehr lax mit der Sicherheit um und/oder Booking.com macht es den Hotels zu einfach.
Warum soll die Privatperson an vielen Stellen mit 2-Faktor-Schutz arbeiten, obwohl diese nur selbst betroffen wäre, wenn Geschäftsunternehmen diesen Schutz nicht nutzen (müssen), obwohl die Sicherheit von Vielen (Dritten) im Zweifel betroffen wäre.

[partybombe]

Ich bin gerade mit ein wenig Erschrecken darauf gestoßen, dass die Hotels „als Partner von Booking.com potenziell Zugriff auf eine große Menge an Gästedaten haben“: von Namen und Adressen bis hin zu Kreditkartenangaben und Telefonnummern.

Quelle: https://partner.booking.com/de/hilfe/recht-sicherheit/sicherheit/online-sicherheitsbewusstsein-phishing