ACHTUNG - eine perfide neue Betrugsmasche bei Buchungen via booking.com

[Jack Black]

Ich bin natürlich keine Expertin. Doch erscheint mir eine Zwei-Faktor-Autorisierung, also eine weitere Autorisierung des Accounts des Hotels gegenüber Booking.com durch ein anderes Gerät sinnvoll.

Nein, nein - Du suchst an der ganz falschen Stelle. Das Problem ist nicht(!) die Kommunikation zwischen Booking.com und den Motels (da wäre dann die 2-Step Autorisierung vielleicht relevant) - das Problem entsteht erst DANACH.

Jedes Motel/Hotel besitzt natürlich auch eine eigene "Verwaltungssoftware" (das ist auch in den Artikeln so abstrakt nur benannt), das kann bei Klitschen auch mal nur eine Excel Sheet sein. Irgendeine Software, wo sie die Kundendaten verwalten. Und genau diese Verwaltungssoftware, die haben Hacker gehackt. Zu dem Zeitpunkt ist Booking.com vollkommen raus. Ich würde vermuten, dass es auch für Motels/Hotels eine Standardsoftware gibt, die sie für die Verwaltung benutzen. Und möglicherweise ist die gehackt worden, vielleicht auch nur bei Motels mit schwacher Infrastruktur.  Wir kennen die Schwachstelle nicht, aber ganz sicher ist, dass es überhaupt nichts nutzt, ob Booking.com bei der Übermittlung der Daten eine bessere Authorisierung benutzt. Das ist nicht die Stelle, wo die Daten ausgespäht werden. Die werden erst ausgespäht, wenn sie vermeintlicher sicher im Motel angekommen sind.

Deswegen ist es für Booking.com ja auch so schwierig, die können gar nichts machen. Es liegt nicht in ihrem Einflussbereich.

[mrh400]

Ein wenig mehr muss schon dahinter stehen. Betroffen sind ja offenbar nur Kunden, die über Booking.com gebucht haben. Zumindest ist bei anderen Buchungsportalen nichts Vergleichbares bekannt geworden. Auch scheinen Direktbucher nicht betroffen zu sein.

[partybombe]

Ein wenig mehr muss schon dahinter stehen. Betroffen sind ja offenbar nur Kunden, die über Booking.com gebucht haben. Zumindest ist bei anderen Buchungsportalen nichts Vergleichbares bekannt geworden. Auch scheinen Direktbucher nicht betroffen zu sein.

Dies habe ich auch so gelesen. Bei anderen ähnlichen Anbietern habe ich ebenfalls nicht entsprechendes gehört.

Weiterhin sollte Booking.com nicht den Hotels diese (laut Booking.com selbst) „große Menge an Gästedaten geben: von Namen und Adressen bis hin zu Kreditkartenangaben und Telefonnummern“ und natürlich die berühmte Buchungsnummer.

Außerdem könnte Booking.com das denen seit längerem bekannte Problem offensiv und proaktiv durch Warnungen und Hinweise angehen; aber das ja könnte das Modell gefährden. Jetzt haben sie den Salat; das Vertrauen ist weg und viele buchen vielleicht wieder direkt.

[mrh400]

.... und viele buchen vielleicht wieder direkt.

...habe ich nie anders gemacht.

Wenn allerdings wirklich nur die Hotelseiten die Quelle wären, würde das auch nicht helfen. Aber wie oben schon geschrieben, dreht es sich offenbar nur um Buchungen über Booking.com.

[lonewolf81]

Aber wenn du direkt buchst, dann hat das Hotel doch auch alle Daten und wenn dir dann die Hacker vom Hotel-Account eine entsprechende Mail schicken, dann kann das ein genauso guter Phishing-Versuch sein. Natürlich ist die Methode perfide, aber aufmerksam sein muss man so oder so.

booking.com hat doch nicht den Zweck Daten vor den Hotels zu verschleiern. Ein Hotel will doch auch mehr haben als nur die Information, dass da jetzt am Dienstag irgendein Gast kommt, der schon bezahlt hat. Natürlich geben die Daten weiter. Und wenn ich die Buchung nicht direkt bezahle, sondern nur reserviere, dann gehe ich sowieso davon aus, dass auch die Kreditkartendaten als Sicherheit übertragen werden. Deshalb halt dieses "sie haben potenziell Zugriff auf...:"

[freddykr]

Das nur Buchungen über Booking betroffen sind, wundert mich nicht.
Soweit ich dies bisher gelesen habe, soll es sich wohl um Phishing Attacken auf Hotels gehandelt haben.
Und wenn dies so eine Masse an verschiedenen Hotels betroffen sind, würde ich denken, dass sich hier dann automatische Viren/Trojaner breit gemacht haben, die nach gewissen Mustern in den Systemen gesucht haben.
Da Booking.com wahrscheinlich mit das beliebteste Buchungsportal ist, wird man wohl nur danach gesucht haben. Auch bei Trojanern macht man heute nix mehr manuell. Bei solchen Massenangriffen schaut doch kein Angreifer mehr manuell nach, sondern da laufen voll automatisierte Prozesse.
Wenn man noch die Seiten der Hotels selber für Phishing nachstellen müsste, wäre das viel zu viel Arbeit. Bei Booking macht man dies 1x und hat damit Millionen potenzielle Opfer.

[Jack Black]

Das nur Buchungen über Booking betroffen sind, wundert mich nicht....

Da Booking.com wahrscheinlich mit das beliebteste Buchungsportal ist, wird man wohl nur danach gesucht haben.

Ganz genauso sehe ich das auch. Da ist ja auch noch mehr Aufwand mit verbunden, als nur ein Motel zu hacken. Man muss auch die Seite des Vermittlers (booking.com) nachbilden und so authentisch wie möglich darstellen, denn die eigentliche Attacke findet ja dort erst statt, wo die Kunden ihre Kreditkartendaten eingeben sollen. Darum geht es ja letztendlich.

Und wahrscheinlich ist auch nur eine bestimmte Verwaltungssoftware gehackt worden, denn es sind lang nicht alle Motels und Buchungen bei booking.com betroffen. Das ist ja alles auch mit Aufwand verbunden und wahrscheinlich gibt es genauso Standardsoftware für Motels so wie es Photoshop für die Bildbearbeitung gibt.

[partybombe]

Das nur Buchungen über Booking betroffen sind, wundert mich nicht.
Soweit ich dies bisher gelesen habe, soll es sich wohl um Phishing Attacken auf Hotels gehandelt haben.
Und wenn dies so eine Masse an verschiedenen Hotels betroffen sind, würde ich denken, dass sich hier dann automatische Viren/Trojaner breit gemacht haben, die nach gewissen Mustern in den Systemen gesucht haben.
Da Booking.com wahrscheinlich mit das beliebteste Buchungsportal ist, wird man wohl nur danach gesucht haben. Auch bei Trojanern macht man heute nix mehr manuell. Bei solchen Massenangriffen schaut doch kein Angreifer mehr manuell nach, sondern da laufen voll automatisierte Prozesse.
Wenn man noch die Seiten der Hotels selber für Phishing nachstellen müsste, wäre das viel zu viel Arbeit. Bei Booking macht man dies 1x und hat damit Millionen potenzielle Opfer.

So könnte es sein und damit wäre Booking.com, wie natürlich die betroffenen Hotels, ein Verlierer der Hackermethode . Ein großes potentielles Opfer ist -ähnlich wie bei Microsoft im Verhältnis zu den kleinen Konkurrenten - natürlich bedeutender und macht im Verhältnis weniger Arbeit, als viele kleinere Angriffe. Vielleicht ist es aber ganz anders und es wurde doch wirklich eine Vielzahl von Hotels angegriffen.
Ich warte jedenfalls erst mal ab und hoffe auf eine zeitnahe, brauchbare Information der Sicherheitsabteilung von Booking.com. Sollte ich daraus neue Erkenntnisse erzielen, melde ich dies hier. Im Augenblick kann ich halt auch nur abwarten und hoffen, dass Booking.com gemeinsam mit dem Hotel die Sachlage klärt und die für die Kunden die richtigen Schlüsse zieht und mir/uns darlegt.

Im Augenblick ist bei eine Verunsicherung da, obwohl ich den Fake-Link nicht genutzt habe. Das ganze ist also für viele Beteiligte (Booking.com, Hotels, Hotelkunde) großer Mist.

[freddykr]

Ich warte jedenfalls erst mal ab und hoffe auf eine zeitnahe, brauchbare Information der Sicherheitsabteilung von Booking.com.

Da wirst du nichts bekommen, was derzeit nicht eh schon von der Pressestelle von Booking.com kommuniziert wurde - nachzulesen z.B. hier:
https://www.watson.de/leben/urlaub%20&%20freizeit/876741668-booking-com-kunden-aufgepasst-fiese-betrugs-masche-im-umlauf

[partybombe]

Ich warte jedenfalls erst mal ab und hoffe auf eine zeitnahe, brauchbare Information der Sicherheitsabteilung von Booking.com.

Da wirst du nichts bekommen, was derzeit nicht eh schon von der Pressestelle von Booking.com kommuniziert wurde - nachzulesen z.B. hier:
https://www.watson.de/leben/urlaub%20&%20freizeit/876741668-booking-com-kunden-aufgepasst-fiese-betrugs-masche-im-umlauf

Danke für den Hinweis.
Die Internetnachricht kombiniert leider „eigene Tipps“ mit Hinweisen von Booking.com. Zum Beispiel wird von Watson geschrieben, das Hotel via E-Mail (und nicht via booking.com) zu kontaktieren und nachzufragen, ob die Nachricht wirklich von der Unterkunft stammt. Booking.com schrieb mir, dass ich abwarten solle, denn sie würden das Hotel kontaktieren und das Hotel werde auf mich auf geeigneten Kanälen zu kommen.
Ich halte mich an dass Versprechen, dass Booking.com auf mich zu kommt, was ja im Übrigen dem letzten Satz entspricht, dass die Verantwortlichen von booking.com betonen: "Unser Kundendienst-Team steht rund um die Uhr zur Verfügung.“
Ich warte auf die Nachricht von Booking.com und zwar unabhängig, ob was Neues drinsteht.

[partybombe]

Mir liegt inzwischen eine konkrete Antwort auf meine Fragen vor:
„Wir möchten Sie darüber informieren dass Ihr (Booking.com-)Account nie gehackt wurde. Ihre Daten in unserem System sind nicht gefährdet. Es ist etwas dass vom Account der Unterkunft stammt und das überprüfen wir gemeinsam mit der Unterkunft.
Wenn Sie über Booking.com bezahlen, hat die Unterkunft keinen Zugriff auf Ihre Kreditkartendaten. Es wird eine virtuelle Kreditkarte erstellt, die die Unterkunft belasten kann. Die Unterkunft hat auch keinen Zugang zu Ihrer Adresse, Ihrem Geburtsdatum oder Ihrer Telefonnummer und kann Sie nur über die Chat-Funktion kontaktieren.“

Die Antwort ist schon konkreter, als eine sehr allgemeine Pressemitteilung.
Ich finde die Antwort brauchbar; vielleicht interessiert jemanden die Konkretisierung, die allgemeine Spekulationen ersetzen kann.

[lonewolf81]

Hier gibt es ein paar Hintergründe zum Vorgehen der Bösewichte:
https://www.heise.de/news/Phishing-Angriffe-Betrueger-missbrauchen-Hotelbuchungsplattform-booking-com-9547507.html

[partybombe]

Die E-Mails kommen direkt über die Booking-Plattform an die Hotelkunden. Da die Kriminellen alle Buchungsdaten einsehen können, wirken die Nachrichten recht überzeugend, was die Erfolgswahrscheinlichkeit erhöht.
Entscheidend ist aus meiner Sicht, dass man auch bei Nachrichten welche über Booking.com laufen besondere Vorsicht walten läßt,besonders wenn Zahlungsdaten abgefragt werden.
Laut Booking.com sind weder die Backend-Systeme noch die Infrastruktur von Booking.com unmittelbar betroffen. Auch hat die Unterkunft wohl keinen Zugriff auf die Kreditkartendaten der Kunden-Adresse sowie deren Geburtsdaten.
Warum Booking.com die betreffende Fake-Nachricht nicht von sich aus löscht, wenn dies gemeldet und verifiziert wurde, ist für mich allerdings nicht nachvollziehbar; bei mir zumindest ist noch immer diese Fake-Nachricht im System.

[Jack Black]

Entscheidend ist aus meiner Sicht, dass man auch bei Nachrichten welche über Booking.com laufen besondere Vorsicht walten läßt,besonders wenn Zahlungsdaten abgefragt werden.

Richtig, sehe ich ganz genauso. Ich habe meine KK-Daten ja auch nicht preisgegeben. Man muss sich nur an eine ganz einfache Grundsatzregel halten: nie, nie, nie einem Link in einer Email folgen. Zumindest nicht, wenn es um Geld geht.

Ausschließlich die eigenen Links benutzen, beispielsweise den eigenen Favoriten für booking.com und ausschließlich direkt im Browser Logindaten eingeben. Nie irgendwelchen Emails folgen. Egal was in der Email steht. Aber das wird ja schon seit Äonen gepredigt, es gibt trotzdem immer noch viel zu viele Menschen, die die Gefahren von Emails nicht einschätzen können. Eigentlich müßte man Email Anwender einem Eignungstest unterziehen, für die eigene Sicherheit....

[Culifrog]

Ich habe meine KK-Daten ja auch nicht preisgegeben. Man muss sich nur an eine ganz einfache Grundsatzregel halten: nie, nie, nie einem Link in einer Email folgen. Zumindest nicht, wenn es um Geld geht.

Bei der Buchung muss man aber doch die KK-Daten angeben?! Allerdings muss man die nie im Nachhinein verifizieren. Und sehr, sehr vorsichtig sein mit Links ist immer ein guter Rat.

Früher dachte ich immer, dass nur besonders naive Leute auf Betrüger-Mails hereinfallen. Die waren in schlechtem Deutsch geschrieben, ohne direkte Anrede und mit abenteuerlichen Abschiedsgrüssen bzw. Absender. Aber wenn persönliche Daten drinstehen oder die E-Mails vom CEO der eigenen Firma verschickt werden, kann man es einem Menschen nicht verübeln, wenn er arglos einen Link öffnet. Bei den CEO-Mails war es bei uns aber so, dass wir gesiezt wurden und da bei uns alle vom Owner bis zum Lehrling per Du sind, hat man das Mail sofort als Betrug identifizieren können.