René Floitgraf info@rene-floitgraf.de +49 2402 385700

    • Auch bei booking.com gibt es schlechten Phish!

    25. September 2023 René Floitgraf
    0 Comment
    Digitale Selbstverteidigung!

    UPDATE von 11:58 Uhr am Ende des Beitrages.

    Heute hatte ich einen sehr seltsamen schlechten Phish an der Angel.
    Ich bin nicht darauf reingefallen und möchte euch unterstützen auch kein Opfer zu werden!

    Meine erste Reaktion war: Ich habe auf die Nachricht und per E-Mail an das Hotel zurückgeschrieben, dass die Nachricht für mich wie eine Phishing-Nachricht aussieht.

    Aus beruflicher Neugier bin ich trotzdem nach vorigen Prüfungen mit dem Smartphone dem angegebenen Link gefolgt – wie heißt es so schön: „Kinder, macht das nicht zu Hause nach!“

    Kernpunkte aus der Nachricht und der Seite, die hinter dem Link zu finden war:

    • Ja, ich habe über booking.com bei besagtem Hotel ein Zimmer gebucht.
    • Der Phish kam sogar über das Portal von booking.com.
    • Auf der Seite waren meine konkreten Buchungsdaten zu finden (Datum, Zimmer, Betrag).
    • Es wurde eine Kreditkarte abgefragt, die notwendig sei, damit die Reservierung aufrecht erhalten werden kann.
    • Mal wieder wird mit Druck gearbeitet: Antworte man nicht in 24 Stunden, würde die Buchung storniert.
    • Zudem war die Anrede generisch und eine Grußformel fehlte komplett. Zumindest ein weiteres Indiz.

    Bestätigung folgte heute Vormittag:

    Mein Gefühl hat mich nicht getäuscht und ich hatte (zum Glück) auch keine Daten auf der Webseite angegeben. Tatsächlich hat das Hotel geantwortet, dass ich dem Link nicht folgen solle.

    Zur Erinnerung für alle, die dies lesen:

    Egal auf welchen Plattformen ihr unterwegs seid – geht davon aus, dass die Angreifer schon da sein. Phish kann man überall bekommen, wie alle verdorbenen Lebensmittel: Nicht essen.

    Woran hätte der Phish erkannt werden können?

    • Wie immer: Es wurde mit Druck gearbeitet. Hier: Kurze Frist (24h) sonst ist die Reservierung storniert!
    • Die URL war verräterisch: https://booking.id1234567890.date – was soll das sein? Also immer die gesamte URL prüfen, nicht nur den Anfang!
    • Die Nachricht war auf Englisch, obwohl es ein deutsches Hotel ist. Zumindest hätte man die Nachricht zweisprachig erwarten können.
    • Achtet auch auf Nebensächlichkeiten (hier: Anrede und Grußformel).
    • Kopf und Bauchgefühl beachten…

    Was jetzt noch unklar ist:

    Wer hat den Phish verursacht? Da es innerhalb von booking.com aufgetreten ist, kann die Nachricht nur durch booking.com oder durch das Hotel ausgelöst worden sein. Ich bin gespannt, was dazu noch folgen wird.

    Ich hätte euch gerne auch die Phishing-Seite gezeigt, aber ich habe gestern Abend keinen Screenshot gemacht. Heute ist die Seite bereits offline!

    Update 11:58 Uhr:
    Olaf Classen hat bei LinkedIn einen passenden Artikel dazu gepostet:
    Bleepingcomputer.com – Hotel hackers redirect guests to fake Booking.com to steal cards