Hotelportale im Visier von Hackern
Sicherheitsforscher von Sekoia berichten von einer Phishing-Kampagne, bei der Cyberkriminelle Buchungssysteme wie booking.com und Expedia mit der Malware PureRAT kompromittieren und gestohlenen Reservierungsdaten nutzen, um die Gäste zu betrügen

12. November 2025, 14:45 Uhr · Quelle: Pressebox

Sicherheitsforscher decken eine organisierte Phishing-Kampagne gegen Hotels auf, bei der Malware wie PureRAT genutzt wird. Die Angreifer täuschen Gäste mit gefälschten Zahlungen, was zu erheblichen Verlusten führt.

Neustadt an der Weinstraße, 12.11.2025 (PresseBox) - Sicherheitsforscher von Sekoia haben eine weitverbreitete Kampagne untersucht, bei der Cyberkriminelle Hotels und deren Gäste ins Visier nehmen. Dem nun veröffentlichten Bericht nach, begann die Untersuchung unter dem Titel „I Paid Twice“, nachdem eine Phishing-Kampagne bekannt wurde, die es auf Kunden des Gastgewerbes abgesehen hatte. Der Name der Untersuchung leitet sich aus dem Betreff einer E-Mail eines der Opfer ab, das von den Cyberkriminellen dazu verleitet wurde, seine Hotelrechnung zweimal zu bezahlen – einmal an das Hotel und einmal an die Cyberkriminellen.

Bei ihren Nachforschungen stellten die Sicherheitsexperten fest, dass die Betrüger scheinbar hoch organisiert vorgegangen und seit mindestens April 2025 aktiv sind. Der erste Schritt der Kriminellen ist ein Angriff auf die Systeme eines Hotels: Sie beschaffen sich nicht öffentlich zugängliche Kontaktdaten von Hotelmanagern, in der Regel durch die Suche auf Websites oder den Kauf von E-Mail-Listen in Foren wie dem russischsprachigen Forum LolzTeam, wo derartige Administrator-Datenbanken bei Großverkäufen nur „einige Dutzend Dollar” kosten, wie die Forscher feststellten.

Die Mitarbeiter erhalten dann geschickt gefälschte E-Mails, die wie Kundenanfragen aussehen und manchmal das Logo von booking.com verwenden. Diese E-Mails werden an die Reservierungs- oder Verwaltungs-E-Mail-Adresse des Hotels gesendet. Darin enthalten ist ein Link, der mittels ClickFix die Malware PureRAT installiert, wodurch die Angreifer beispielsweise die Log-in-Daten des Hotels für Buchungsplattformen wie booking.com entwenden können.

Auf diesem Weg erhalten die Hacker zum Beispiel Zugang zu einem echten booking.com-Konto, das die persönlichen Daten und Reservierungsdetails der Hotelgäste enthält. Diese werden wiederum dazu genutzt, die Kunden mit täuschend echten WhatsApp-Nachrichten oder E-Mails zu kontaktieren. Der Inhalt: Angeblich gebe es ein Sicherheitsproblem mit ihren Zahlungen. Dabei behaupten die Angreifer, dass booking.com ein Verfahren eingeführt habe, um Stornierungen zu verhindern. Der Gast wird dann auf eine gefälschte Website weitergeleitet, wo er seine Bankdaten eingeben soll – die dann direkt bei den Betrügern landen. Die Forscher von Sekoia schätzen, dass dieses Vorgehen sehr profitabel sein muss, da sie Hunderte von bösartigen Domains aufgespürt haben, die bereits mehrere Monate lang aktiv waren.

Darüber hinaus fanden die Sicherheitsforscher heraus, dass die Angreifer ihren Betrug nicht nur über booking.com betrieben haben, sondern auch andere Buchungsseiten wie Expedia imitierten. Das zeigt, wie weit verbreitet diese Masche mittlerweile ist. Der Grund hierfür dürfte leicht zu erraten sein: Dieses spezielle Betrugsmodell gibt den Angreifern zwei profitable Ansatzpunkte, denn sie nehmen sowohl die Kunden als auch die Hotels ins Visier. Umso wichtiger ist es, Vorsicht walten zu lassen, auch wenn Nachrichten aus vermeintlich vertrauenswürdigen Quellen stammen.

Internet / Hacking / Cybercrime / Phishing / Hotels
[pressebox.de] · 12.11.2025 · 14:45 Uhr
[0 Kommentare]