Woche 4: Schadsoftware in Hotels - Buchungsdaten werden für Betrug gegen Hotelgäste verwendet

Service navigation

Suche

Navigation

Woche 4: Schadsoftware in Hotels - Buchungsdaten werden für Betrug gegen Hotelgäste verwendet

31.01.2023 - Der Meldeeingang des NCSC ist in der vierten Woche 2023 mit 716 Meldungen wieder leicht zurückgegangen. Bei einem aktuellen Fall meldet sich ein falscher Rezeptionist bei einem Hotelgast, um beispielsweise an Kreditkartendaten zu gelangen oder ihn zu einer zusätzlichen Zahlung zu überreden. Nachdem in den letzten Wochen bereits solche Fälle in Frankreich beobachtet worden waren, wurde nun auch ein Fall in der Schweiz gemeldet. Die Buchungsdaten der Gäste werden dabei durch die Schadsoftware «RedLine Stealer» bei den betroffenen Hotels gestohlen.

Revival einer Betrugsmasche – Hotels und Hotelgäste im Visier von Cyberkriminellen

Bereits vor drei Jahren machte eine Masche die Runde, bei der Betrüger willkürlich Hotelgäste anriefen und sich als Rezeptionist ausgaben. Die Betrüger wählten zu diesem Zweck einfach auf gut Glück die Nummer des Hotels und liessen sich auf ein beliebiges Zimmer durchstellen. Einige Hotels geben auf der Homepage sogar (immer noch) die direkte Durchwahl für die Hotelzimmer an. Die vermeintlichen Hotelmitarbeiter gaben anschliessend vor, dass ihnen bei der Kreditkartenabbuchung ein Fehler unterlaufen sei und sie deshalb die Buchung noch einmal tätigen müssten. Die Hotelgäste wurden dann am Telefon dazu gedrängt, die Kreditkartendaten inklusive Sicherheitsmerkmale anzugeben.

Drei Jahre später haben die Betrüger diese Masche weiterentwickelt. In einer neuen Variante, die bereits seit einigen Wochen in Frankreich beobachtet wird und letzte Woche nun auch das erste Mal dem NCSC gemeldet wurde, ist die Vorgehensweise ähnlich. Dabei werden Personen, die ein Hotel gebucht haben, per WhatsApp kontaktiert und in einen Chat verwickelt. Die Angreifer kennen dabei sämtliche Buchungsdetails und nutzen diese Informationen, um das Gegenüber zu überzeugen, dass es sich wirklich um die Anfrage des Hotels handelt. Im konkreten Fall hat der Melder ein Hotel in Bern gebucht und noch am gleichen Tag eine Rückmeldung von der vermeintlichen Rezeptionistin über WhatsApp erhalten. Dabei konnten die Angreifer Angaben zu den konkreten Reisedaten, der Adresse des Gastes und sogar den Hotelkosten machen. Nach zunächst unverfänglichen Fragen zur Ankunftszeit wurde dann nach Kreditkartendaten gefragt oder das Opfer dazu gedrängt, eine Zahlung zu tätigen. Die Kontaktaufnahme lief in diesem Fall über eine niederländische Telefonnummer. Dies machte das Opfer stutzig und die Konversation wurde dann beendet.

Meldung der vermeintlichen Rezeptionistin über WhatsApp. Als Beweis werden die Buchungsdaten angegeben,
Meldung der vermeintlichen Rezeptionistin über WhatsApp. Als Beweis werden die Buchungsdaten angegeben,

Buchungsdaten durch Schadsoftware «RedLine Stealer» gestohlen

Es stellt sich die Frage, wie die Angreifer an die Buchungsdetails gelangen konnten. Die Reservationen, sowohl im aktuellen Fall wie bei den in Frankreich beobachteten Fällen, wurden über das Portal «booking.com» abgewickelt. Der Verdacht lag deshalb nahe, dass sich die Angreifer Zugriff auf das «booking.com»-Konto des Hotels verschaffen konnten, indem sie beispielsweise im Vorfeld diese Zugangsdaten mittels Phishing erschleichen konnten. Neueste Meldungen deuten darauf hin, dass die Zugangsdaten bei den Hotels durch die Schadsoftware «RedLine Stealer» gestohlen werden. Die Malware sammelt Informationen von Browsern, wie z. B. gespeicherte Anmeldedaten, Daten zum automatischen Ausfüllen von Formularen und Kreditkarteninformationen. Um die Hotelangestellten zu überzeugen auf die bösartige Datei zu klicken, werden sie durch vermeintliche Gäste kontaktiert, die den Standort des Hotels wissen wollen oder eine Reservation stornieren möchten. Danach werden sie dazu gedrängt, eine Datei zu öffnen und so die Schadsoftware zu installieren. Die Angreifer erlangen dadurch Zugriff auf verschiedene Hotelkonten und können weitere Betrügereien durchführen.

Empfehlungen:

  • Geben Sie niemals Kreditkartendaten oder Passwörter an, wenn Sie per E-Mail, Telefon oder Messenger-Dienst aufgefordert werden.

  • Vorsicht bei E-Mails, die eine Aktion von Ihnen verlangen Seien Sie vorsichtig, wenn Sie dazu gedrängt werden, eine Aktion auszuführen. Dabei kann es sich beispielsweise um das Anklicken eines Links oder das Öffnen eines Anhangs handeln. 

  • Bedenken Sie, dass Absender von E-Mails oder SMS leicht gefälscht werden können.

  • Auch die angezeigten Telefonnummern bei einem Anruf können ohne grossen Aufwand gefälscht werden.

  • Geben Sie nie persönliche Daten wie Passwörter oder Kreditkartendaten auf einer Webseite ein, die Sie über einen Link in einer E-Mail oder SMS angeklickt haben.

  • Installieren Sie, wenn immer möglich eine Zwei-Faktor-Authentifizierung. Dies bietet eine zusätzliche Schutzebene, um zu verhindern, dass Ihr Konto gehackt wird.

  • Keine Bank und kein Kreditkarteninstitut wird Sie jemals per E-Mail auffordern, Passwörter zu ändern oder Kreditkartendaten zu verifizieren.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 31.01.2023

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2023/wochenrueckblick_4.html