28.11.2023 - Mit neuen Varianten versuchen Cyberkriminelle, Hotels oder deren Gäste in die Falle zu locken. In den aktuell an Hotels versendeten E-Mails behaupten die Betrüger unter anderem, von Bettwanzen gebissen worden zu sein oder dass sie im Hotelzimmer gefilmt worden seien und nun erpresst würden. Ziel der Betrüger ist es, Hotelmitarbeitende zu verleiten, eine Schadsoftware zu installieren.
Bereits Anfang Jahr hat das NCSC in seinem Wochenrückblick vor Vorfällen gewarnt, bei denen sich ein falscher Rezeptionist bei einem Hotelgast meldet, um an Kreditkartendaten zu gelangen. Dabei wurden Personen, die ein Hotel gebucht haben, per WhatsApp kontaktiert und in einen Chat verwickelt. Die Angreifer kannten dabei sämtliche Buchungsdetails und nutzten diese Informationen, um das Gegenüber zu überzeugen, dass es sich wirklich um die Anfrage des Hotels handelt. Der Verdacht lag damals nahe, dass sich die Angreifer Zugriff auf das «booking.com»-Konto des Hotels verschaffen konnten. Aktuelle Fälle zeigen nun die Vorgehensweise, wie die Angreifer versuchen, Hotels mit Schadsoftware zu infizieren, um die Zugangsdaten zu Online-Buchungsplattformen zu stehlen.
Erpressung mit angeblichen Fotos und Videos aus dem Hotelzimmer
Meldungen, die das NCSC in der vergangenen Woche erhalten hat, zeigen, dass derzeit eine Welle von Infektionen von Hotels mit Malware im Gange ist. Dabei werden verschiedene Social-Engineering-Methoden eingesetzt, um das Hotelpersonal dazu zu bringen, auf einen Link zu klicken und Malware zu installieren.
In einer Variante erhält das Hotel eine E-Mail von einem angeblichen Gast. Darin wird behauptet, dieser werde derzeit mit pornografischen Bildern erpresst, die angeblich in dem Hotelzimmer aufgenommen worden seien, wo er übernachtet habe. Der Gast gibt dem Hotel zwei Tage Zeit, um den Sachverhalt zu klären und den Täter zu benennen, weil sich andernfalls das Hotel zum Mittäter mache. Als Beweis sei die gesamte Dokumentation des Falles archiviert worden. Die entsprechende Datei könne unter dem angegebenen Link heruntergeladen werden.
Durch Anklicken des Links wird eine Zip-Datei von 50 MB heruntergeladen, die sich beim Entpacken zu einer ausführbaren Datei von 637 MB aufbläht. Die Grösse der Datei soll wohl einerseits den Eindruck erwecken, dass es sich um grosse Daten handelt, wie z. B. Videos oder Fotos, und andererseits Antiviren-Software umgehen – grosse Dateien werden beim Scan häufig übersprungen. Bei der Datei handelt es sich um eine Schadsoftware.
Die Absicht der Täterschaft ist klar. Die Angreifer versuchen, das Hotelpersonal zu schockieren und für einen Moment zu einer unüberlegten Handlung zu verleiten. Beim Anklicken der ausführbaren Datei fragt das System nämlich nach, ob das Opfer die Datei wirklich installieren möchte. Hier gäbe es also noch die Möglichkeit, die Infektion zu verhindern. Mit der schockierenden Geschichte versuchen die Angreifer zu verhindern, dass das Opfer die Warnungen liest und stattdessen einfach überall auf OK klickt.
Die Schadsoftware zeichnet anschliessend alle eingegebenen Zugangsdaten auf und übermittelt sie an die Angreifer. Damit können die Täter auf aktuelle Buchungen des Hotels über Online-Plattformen wie booking.com zugreifen.
Auch Bettwanzen und gesundheitliche Probleme
Neben der oben genannten Variante sind noch weitere im Umlauf. So erhielt das NCSC eine Meldung zu einer E-Mail, in der ein Gast behauptet, er sei von Bettwanzen gebissen worden, habe nun ernsthafte gesundheitliche Probleme und müsse ärztliche Hilfe in Anspruch nehmen. Auch hier war ein Link zu Google Drive mit angeblichen Beweisen beigefügt. In diesem Fall war die Zip-Datei passwortgeschützt. Das Passwort wurde in der E-Mail mitgeliefert.
Die schadhafte Datei mit einem Passwort zu schützen, ist eine typische Vorgehensweise. Die Angreifer versuchen so, den Detektionsmechanismen, die direkte Erkennung und Deaktivierung der Malware, auf Google Drive zu erschweren.
Gleichzeitig Meldungen von Hotelgästen
Berichte über die Verwendung der gestohlenen Daten liessen nicht lange auf sich warten. So erhielt das NCSC in der vergangenen Woche ebenfalls Berichte von Personen, die eine Hotelreservierung vorgenommen hatten. Diese erhielten unmittelbar nach der Buchung eine Rückmeldung von booking.com mit der Aufforderung, die Kreditkartendaten über den angegebenen Link innerhalb von 24 Stunden zu verifizieren, da die Buchung ansonsten storniert würde. Hinter dem Link befand sich eine personalisierte Phishing-Seite mit den korrekten Daten der getätigten Reservation. Die Daten müssen dementsprechend zuvor über das booking.com-Konto des Hotels abgeflossen sein.
Massnahmen für Hotels:
- Nehmen Sie den Computer beim Verdacht einer Infektion umgehend offline und ändern Sie bei allen Online-Zugängen Ihre Passwörter von einem anderen, nicht betroffenen Computer aus.
- Viele Schadprogramme nehmen tiefgreifende Änderungen am System vor, die nicht einfach rückgängig gemacht werden können. Bei einer bestätigten Infektion sollte daher das gesamte System neu aufgesetzt werden. Regelmässige Backups erleichtern die Wiederherstellung Ihrer Daten.
- Gerade Hotels müssen viele Dokumente öffnen, die von Gästen übermittelt werden. Ausführbare Daten dürfen aber unter keinen Umständen geöffnet werden.
- Halten Sie die Systeme immer auf dem neuesten Stand.
- Überlegen Sie sich eine Strategie, bei der die Computer für die Gästekommunikation vom restlichen Netz abgetrennt sind.
Massnahmen für Hotelgäste:
- Es gelten die gängigen Regeln zu Phishing, wie im letzten Wochenrückblick erläutert.
- Informieren Sie umgehend das Hotel und die Buchungsplattform, wenn Sie eine solche Phishing-E-Mail erhalten.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 28.11.2023