Reisende aufgepasst: Ihre Hotelbuchungsdetails könnten kompromittiert sein. Sicherheitsforscher haben eine weit verbreitete Kampagne aufgedeckt, die Hunderte von Hotels weltweit ins Visier nimmt und zum Diebstahl sensibler Reiseinformationen führt, die für die Erstellung hochwirksamer Phishing-Angriffe verwendet werden. Diese Betrügereien, bekannt als "Reservierungsübernahme" (Reservation Hijacking), zielen darauf ab, Opfer dazu zu verleiten, ihre Kreditkartendaten preiszugeben. **Umfang des Angriffs** Laut einer Analyse von **Norton** sind mindestens 350 Hotels, Ferienwohnungen, Motels und Pensionen in 50 Ländern in diese Masche verwickelt. Die gestohlenen Daten, einschließlich Buchungsnamen und Reservierungsinformationen, werden verwendet, um personalisierte Phishing-Nachrichten zu erstellen, die legitim erscheinen und die Wahrscheinlichkeit erhöhen, dass Empfänger auf bösartige Links klicken. "Das ist wirklich gezielt", sagt Luis Corrons, der die Forschung bei **Gen**, der Muttergesellschaft von Norton, leitete. Die analysierten Phishing-Websites enthielten Hotelnamen, unterschiedliche Preise, die auf jedes Opfer zugeschnitten waren, und spezifische Check-in-/Check-out-Details. "Es ist Spear-Phishing, das auf das spezifische Opfer mit den echten Details der Reservierung abzielt." Deutschland scheint das am stärksten betroffene Land zu sein, gefolgt von Frankreich, Großbritannien, Italien, Spanien und den USA. Die Zielunterkünfte haben eine Gesamtkapazität von rund 80.000 Gästen. Corrons merkt an, dass die meisten der betroffenen Betriebe kleine und mittlere Hotels sind. **Phishing-as-a-Service verstärkt die Bedrohung** Die Ergebnisse unterstreichen die zunehmende Raffinesse von Cyberkriminellen, die ständig "Phishing-as-a-Service"-Software erweitern und entwickeln. Diese Kits ermöglichen es ihnen, Millionen von betrügerischen Nachrichten zu versenden, die verschiedene globale Marken nachahmen. Laut **FBI**-Daten verloren Amerikaner allein im letzten Jahr über 200 Millionen US-Dollar durch Phishing-Angriffe. Nortons Untersuchung begann im Dezember, nachdem eine täuschend echt aussehende Phishing-Nachricht über WhatsApp identifiziert wurde, die **Booking.com** nachahmte. Die Nachricht enthielt Reservierungsdaten und die Aufforderung, Details über einen Link zu bestätigen. Dieser Link führte zu einer gefälschten Website mit einem Chatbot, der darauf ausgelegt war, sensible Informationen zu stehlen. **Wie Hacker Buchungsdetails erhalten** Hacker können Urlaubs-Buchungsdetails auf verschiedene Weise erlangen, unter anderem durch die Kompromittierung von Hotelsystemen oder die Ausnutzung von Drittanbieter-Buchungsdiensten. Sie können mit Malware infizierte E-Mails an Hotelmitarbeiter senden, um Anmeldedaten zu stehlen. Frühere Forschungen von Norton erwähnten sowohl Booking.com als auch das Hotelverwaltungssystem **CloudBeds** als potenzielle Ziele. "Wir konnten einige der Nachrichten erhalten, die von den Unterkunftsmitarbeitern empfangen werden, um sie zu phishen", sagt Corrons. Corrons betont, dass nicht jede Phishing-Nachricht das Ergebnis einer direkten Kompromittierung von Hotelsystemen ist. Informationen aus anderen Datenpannen oder nicht verwandten Systemen könnten ebenfalls verwendet werden. "Der gemeinsame Nenner ist, dass Kriminelle echte Reservierungskontexte als Waffen einsetzen und Reisende in einen gefälschten Verifizierungs- oder Zahlungsfluss drängen." Obwohl Norton die Täter noch untersucht, scheint es, dass sie Phishing-Kits verwenden, um den Prozess zu automatisieren. Das Unternehmen hat seine Ergebnisse mit **Europol** geteilt, obwohl die Agentur sich weigerte, einen Kommentar abzugeben. Ein Sprecher von Booking.com erklärte: "Wir stärken weiterhin unsere Abwehrmaßnahmen, um das Risiko zu reduzieren und die Möglichkeiten für böswillige Akteure, unsere Unterkunftspartner und unsere Kunden ins Visier zu nehmen, einzuschränken, und wir sehen Ergebnisse." Cloudbeds versichert, dass es nicht kompromittiert wurde und dass die Angriffe Credential-Phishing-Kampagnen sind, die sich gegen Hotelmitarbeiter und Kunden richten. Aaron Ownbey, Vizepräsident für Engineering bei Cloudbeds, erklärt: "Der Grund, warum diese Betrügereien so effektiv sind, ist, dass der Angreifer nicht rät: Er weiß genau, wer der Gast ist, wann er ankommt und was er bezahlt hat." **Abhilfestrategien** **Don Smith**, Vizepräsident für Threat Research bei **Sophos**, betont, dass kleinere Hotels oft keine robusten Sicherheitsmaßnahmen wie Multifaktor-Authentifizierung haben. Er zitiert einen Vorfall, bei dem ein Hotelmitarbeiter dazu verleitet wurde, den **Vidar**-Info-Dieb herunterzuladen, nachdem er auf einen Link in einer E-Mail geklickt hatte, die angeblich von einem Gast stammte, der seinen Reisepass verloren hatte. Dies führte dazu, dass betrügerische Nachrichten aus dem Booking.com-Konto des Hotels gesendet wurden. "Bedrohungsakteure lieben Kontext, weil Kontext eine Phishing-Köder viel überzeugender macht", sagt Smith. Corrons rät Reisenden, vorsichtig zu sein und verdächtige Nachrichten zu überprüfen, indem sie das Hotel oder die Ferienwohnung direkt über alternative Wege kontaktieren. "Auch wenn die Daten in der Nachricht echt sind", warnt er, "bedeutet das nicht, dass Sie der Nachricht vertrauen können." Ownbey empfiehlt der Hotelbranche, ihre Sicherheitsstandards gemeinsam anzuheben, indem sie die Schulung des Rezeptionspersonals verbessert, die Akzeptanz von phishing-resistenten Authentifizierungsmethoden erweitert und die Zugriffskontrollen auf Gästedaten von jeder Plattform verschärft.