Angreifer geben sich als Gäste aus
Um die Angestellten eines Hotels zur Installation einer Schadsoftware zu verleiten, geben sich die Angreifer als Gast aus und täuschen verschiedene Situationen vor. In einem Fall wurde vom vermeintlichen Gast beispielsweise behauptet, dass es während des Hotelaufenthaltes Probleme gegeben habe, die noch nicht gelöst worden seien. Einzelheiten seien auf der Buchungsplattform «booking.com» hinterlegt.
In einem anderen Fall behaupteten die Angreifer, dass zwar eine Zahlung für das Hotelzimmer erfolgt sei, diese jedoch anschliessend wieder gelöscht worden sei und das Hotel nun unbedingt bei der Lösung des Vorfalls behilflich sein müsse. Auch hier wird angeblich ein Link zum Buchungsportal angegeben. Beim Anklicken des Links öffnet sich jedoch nicht «booking.com», sondern das Hotel wird auf eine von den Betrügern erstellte Seite weitergeleitet.
Gefährliche Captcha-Falle
Nach dem Anklicken des Links wird aber nicht sofort die Seite geöffnet. Zuerst erscheint ein sogenanntes Captcha bei dem man beweisen soll, dass man ein Mensch und kein Roboter ist. Meist geht es um Rechenaufgaben, die gelöst oder um Gegenstände, die zugeordnet werden müssen. In diesem Fall soll allerdings die Windows-Taste und die R-Taste gedrückt werden. Anschliessend soll man gleichzeitig die Taste «Control» und die «V»-Taste drücken und das Ganze mit der Taste «Enter» bestätigen.
Befolgt man diese Anweisung, wird der Computer mit einer Schadsoftware infiziert. Beim Laden der Seite wird ein Schadcode automatisch in den Zwischenspeicher kopiert und mit der oben beschriebenen Tastenkombination auf dem betroffenen Computer ausgeführt. So wird die Schadsoftware heruntergeladen und auf dem betroffenen Gerät installiert. Handelt es sich dabei um einen Computer, der Zugriff auf das Hotelbuchungssystem hat, verfügen die Angreifer nun über alle notwendigen Daten, um die Gäste anzugreifen.
Der Cyberangriff aus der Perspektive des Gastes
Auch auf Hotelgäste hat das BACS hat in den vergangenen Wochen verschiedene Varianten von Phishing-Angriffen beobachtet. Bei einer Variante sendeten die Angreifer eine einfache SMS mit einer korrekten Anrede, einem Link und dem Hinweis, dass es sich um eine wichtige Information des Hotels handle. Klickt das Opfer auf den Link, öffnet sich eine Buchungsseite im Stil eines Hotels. Dort wird die Eingabe der Kreditkartendaten verlangt.
In einer anderen Variante erhielt das Opfer eine E-Mail vom Hotel mit einem Link zu einem täuschend echt imitierten Buchungsportal von «booking.com». Um die Buchung zu bestätigen, sollte das Opfer über 2000 Franken auf eine IBAN überweisen und anschliessend den Zahlungsbeleg auf das Portal hochladen.
Verdächtig ist neben der ungewöhnlichen Zahlungsmodalität auch, dass es sich um eine ausländische IBAN handelt. Die Täter setzen das Opfer zudem unter Druck, man habe 48 Stunden Zeit, sonst verfalle die Reservierung. Dies ist ein typischer Trick, das Opfer mit einem Zeitlimit unter Druck zu setzen und so zu verhindern, dass Zweifel an der Vorgehensweise aufkommen. (mm)
Massnahmen für Hotels
- Ausführbare Dateien dürfen unter keinen Umständen geöffnet werden
- Seien Sie vorsichtig bei der Installation von Programmen. Laden Sie Programme nur aus sicheren und vertrauenswürdigen Quellen herunter
- Seien Sie bei ungewöhnlichen Captchas vorsichtig
- Nehmen Sie den Computer beim Verdacht einer Infektion umgehend offline und ändern Sie bei allen Online-Zugängen Ihre Passwörter von einem anderen, nicht betroffenen Computer aus. Wenden Sie sich an eine Computerfachperson
- Regelmässige Backups erleichtern die Wiederherstellung Ihrer Daten
- Halten Sie die Systeme immer auf dem neuesten Stand
- Überlegen Sie sich eine Strategie, bei der die Computer für die Gästekommunikation vom restlichen Netz abgetrennt sind
