Eine russischsprachige Hackergruppe steckt hinter einer massiven, großangelegte Phishing-Kampagne, die seit Anfang 2025 läuft und bereits mehr als 4.300 Domainnamen registriert hat. Ziel der Angriffe sind Hotelgäste, die über Plattformen wie Booking.com, Expedia, Airbnb und Agoda Reservierungen tätigen. Die Angreifer setzen eine ausgeklügelte Phishing-Software ein, die es ermöglicht, den Angriff je nach Zielperson anzupassen.

Angriffsmechanismus

Die Phishing-Mails locken die Opfer auf eine gefälschte Webseite, auf der sie gebeten werden, ihre Kreditkartendaten zur Bestätigung der Buchung einzugeben. Dabei werden 43 verschiedene Sprachen unterstützt, was den Angriff international skalierbar macht. Die gefälschten Seiten imitieren bekannte Markenlogos und verwenden eine Kombination aus AD_CODE-Parametern, um die Seiten individuell auf den jeweiligen Benutzer anzupassen.

Phishing-Kit und Automatisierung

Das Phishing-Kit ist vollständig automatisiert, was die Durchführung der Angriffe effizient und unauffällig macht. Sobald die Kreditkartendaten eingegeben werden, versuchen die Angreifer im Hintergrund, Transaktionen durchzuführen. Gleichzeitig erscheint ein Fenster, das vorgibt, eine 3D-Secure-Überprüfung der Kreditkarte zu verlangen.

Beziehungen zu anderen Angriffen

Es wird vermutet, dass diese Kampagne mit einer anderen groß angelegten Phishing-Kampagne zusammenhängt, die kürzlich von Sekoia gemeldet wurde. Diese nutzt ebenfalls ähnliche Domainmuster und zielt auf die Hotelbranche ab.

Phishing-as-a-Service (PhaaS)

Die Kampagne zeigt die wachsende Nutzung von Phishing-as-a-Service (PhaaS)-Angeboten, die es auch technisch weniger versierten Angreifern ermöglichen, groß angelegte Phishing-Angriffe durchzuführen. Die Tools sind extrem automatisiert und werden häufig über Telegram-Bots verwendet, um gestohlene Daten zu exfiltrieren.

Zielregionen und betroffene Unternehmen

Der Angriff richtet sich insbesondere auf Unternehmen in Mittel- und Osteuropa, darunter die Tschechische Republik, Slowakei, Ungarn und Deutschland, sowie auf Unternehmen der IT- und Hosting-Branche in Italien. Auch andere Branchen wie Microsoft, Adobe und DHL sind Ziel von Phishing-Angriffen, bei denen ebenfalls HTML-Anhänge verwendet werden, um Login-Daten zu stehlen.

Die Kampagne zeigt die zunehmende Systematisierung von Phishing-Angriffen, bei denen automatisierte Tools und Plattformen zum Einsatz kommen, um schnelle, skalierbare und schwer zu entdeckende Angriffe zu ermöglichen.

Wie Hotels sich und ihre Gäste vor Phishing-Angriffen schützen können

1. Schulung des Hotelpersonals

• Regelmäßige Schulungen: Hotelmitarbeiter sollten regelmäßig in Bezug auf Phishing-Angriffe und Cyber-Sicherheit geschult werden, um verdächtige E-Mails und Links schnell zu erkennen.
• Sensibilisierung der Gäste: Hotels sollten ihre Gäste in regelmäßigen E-Mails oder auf der Website darüber informieren, wie sie sich vor Phishing-Angriffen schützen können, insbesondere bei der Buchung von Zimmern und der Zahlung von Rechnungen.

2. Eindeutige und sichere Kommunikationskanäle bieten

• Offizielle Kommunikationskanäle: Hotels sollten ausschließlich offizielle Kommunikationskanäle für Buchungsbestätigungen, Zahlungen oder Informationen verwenden. Dies umfasst die Nutzung des eigenen, gesicherten E-Mail-Systems und offizielle Buchungsplattformen.
• Vermeidung von Direktlink-Anfragen: Phishing-Mails beinhalten oft Links, die zu gefälschten Webseiten führen. Hotels sollten darauf hinweisen, dass Gäste niemals Links in E-Mails klicken sollten, sondern die Website direkt besuchen.

3. Zwei-Faktor-Authentifizierung für Hotelbuchungssysteme

• Zwei-Faktor-Authentifizierung (2FA): Hotels sollten sicherstellen, dass ihre Buchungsplattformen und Kundenkonten 2FA unterstützen. Dies bietet eine zusätzliche Sicherheitsebene, falls ein Hacker die Zugangsdaten eines Gastes stiehlt.
• Sichere Zahlungsabwicklung: Hotels sollten eine sichere Zahlungsabwicklung und Zahlungs-Gateways anbieten, die Phishing-Angriffe erschweren.

4. Verwendung von sicheren, verschlüsselten Webseiten

• SSL-Zertifikate: Hotels sollten sicherstellen, dass ihre Webseiten und Buchungsportale über SSL-Zertifikate (HTTPS) verfügen, um die Daten ihrer Gäste zu schützen.
• Sicherheitsprotokolle: Eine sichere Verschlüsselung für alle Online-Zahlungen und persönliche Daten der Gäste ist unerlässlich, um zu verhindern, dass Daten während der Übertragung abgefangen werden.

5. Eindeutige E-Mail-Buchungsbestätigungen

• Verifizierung durch Hotels: Hotels sollten ihre Buchungsbestätigungen durch eindeutige, schwer nachzuahmende Elemente (wie Buchungsnummern oder zusätzliche Verifikationscodes) kennzeichnen, die Gäste überprüfen können, falls sie unsicher sind.
• Warnung vor Phishing-Versuchen: Eine einfache Mitteilung, wie „Falls Sie eine E-Mail erhalten, die nicht von uns stammt, bitten wir Sie, sie sofort zu löschen“, kann Gästen helfen, verdächtige E-Mails zu erkennen.

6. Sichere, personalisierte Webseiten für Buchungen

• Individuelle Buchungslinks: Hotels sollten für jede Buchung personalisierte Links und Zugangscodes vergeben, um den Phishing-Angreifern das Nachstellen von legitimen Buchungsseiten zu erschweren.
• Eindeutige Domainnamen: Hotels sollten darauf achten, dass ihre offizielle Website eine eindeutige Domain hat, die keine Missverständnisse zulässt (z. B. „hotelname.com“ statt „hotelname-confirmation.com“).

7. Gäste über Phishing-Angriffe aufklären

• Informationen auf der Website: Hotels können auf ihrer Website spezifische Warnungen vor Phishing-Angriffen und betrügerischen E-Mails bereitstellen, z. B. durch einen Abschnitt mit häufig gestellten Fragen oder Sicherheitstipps.
• Sicherheits-Pop-ups in Bestätigungsmails: In den Bestätigungs-E-Mails für Buchungen können Hotels einen Hinweis hinzufügen, dass Gäste sicherstellen sollten, dass sie nur auf die offiziellen Links der Hotelwebsite klicken.

8. Aufruf zu wachsamem Verhalten und Unterstützung anbieten

• Einfacher Kontakt bei Verdacht: Hotels sollten eine Notfall-Hotline oder eine direkte Anlaufstelle für Gäste bieten, falls sie glauben, Opfer eines Phishing-Angriffs geworden zu sein.
• Anleitung zum Melden von Phishing-Versuchen: Falls Gäste eine verdächtige E-Mail erhalten, sollten sie wissen, wie sie diese dem Hotel melden können, damit das Hotel entsprechende Maßnahmen ergreifen kann.

9. Sicherheitssoftware und Schutzmechanismen

• Phishing-Filter und Schutzsoftware: Hotels sollten Phishing-Schutzsoftware und Spam-Filter verwenden, um verdächtige E-Mails oder Links automatisch zu blockieren und ihre Gäste vor gefährlichen Inhalten zu schützen.
• Regelmäßige Sicherheitsüberprüfungen: Es ist wichtig, dass Hotels ihre Netzwerksicherheit regelmäßig auf Schwachstellen überprüfen und sicherstellen, dass ihre Buchungssysteme und Websites gegen die neuesten Bedrohungen geschützt sind.

10. Zusammenarbeit mit Experten

• Zusammenarbeit mit Cybersicherheitsunternehmen: Hotels sollten sich mit Cybersicherheitsunternehmen oder Experten zusammenarbeiten, um sich vor neu auftretenden Phishing-Techniken und anderen Bedrohungen zu schützen und die Sicherheitsvorkehrungen regelmäßig zu aktualisieren.

Indem Hotels ihre eigenen Sicherheitsmaßnahmen verbessern und ihre Gäste über Phishing-Risiken aufklären, können sie dazu beitragen, die Gefahr von Phishing-Angriffen erheblich zu reduzieren. Schulungen, sichere Kommunikation und die Implementierung von zusätzlichen Sicherheitsprotokollen wie 2FA und SSL-Verschlüsselung sind entscheidend, um sowohl die Sicherheit des Hotels als auch die seiner Gäste zu gewährleisten.