In den letzten Tagen hat das Bundesamt für Cybersicherheit (BACS) wieder mehrere Cyberangriffsmeldungen von Hotelgästen erhalten. Meist hat dies folgende Ursache: Die betroffenen Hotels sind Opfer eines Cyberangriffs geworden und die Gauner hatten dadurch Zugriff auf die Reservierungsdaten.
Der Cyberangriff aus der Perspektive des Hotels
Um die Angestellten eines Hotels zur Installation einer Schadsoftware zu verleiten, geben sich die Gauner als Gäste aus und täuschen verschiedene Situationen vor. In einem Fall wurde vom vermeintlichen Gast beispielsweise behauptet, dass es während des Hotelaufenthaltes Probleme gegeben habe, die noch nicht gelöst worden seien. Einzelheiten seien auf der Buchungsplattform «booking.com» hinterlegt. In einem anderen Fall behaupteten die Gauner, dass zwar eine Zahlung für das Hotelzimmer erfolgt sei, diese jedoch anschliessend wieder gelöscht worden sei und das Hotel nun unbedingt bei der Lösung des Vorfalls behilflich sein müsse. Auch hier wird angeblich ein Link zum Buchungsportal angegeben. Beim Anklicken des Links öffnet sich jedoch nicht «booking.com», sondern das Hotel wird auf eine völlig andere, von den Gaunern erstellte Seite weitergeleitet.
Nach dem Anklicken des Links wird aber nicht sofort die Seite geöffnet. Zuerst erscheint ein sogenanntes Captcha, bei dem man beweisen soll, dass man ein Mensch und kein Roboter ist. In diesem Fall soll allerdings die Windows-Taste und die R-Taste gedrückt werden. Anschliessend soll man gleichzeitig die Taste «Control» und die «V»-Taste drücken und das Ganze mit der Taste «Enter» bestätigen.
Befolgt man diese Anweisung, wird der Computer mit hoher Wahrscheinlichkeit mit Schadsoftware infiziert. Beim Laden der Seite wird ein Schadcode automatisch in den Zwischenspeicher kopiert und mit der oben beschriebenen Tastenkombination auf dem betroffenen Computer ausgeführt. So wird die Schadsoftware heruntergeladen und auf dem betroffenen Gerät installiert. Handelt es sich dabei um einen Computer, der Zugriff auf das Hotelbuchungssystem hat, verfügen die Gauner nun über alle notwendigen Daten, um die Gäste anzugreifen.
Der Cyberangriff aus der Perspektive des Gastes
Das BACS hat in den vergangenen Wochen verschiedene Varianten von Phishing-Angriffen auf Hotelgäste mit unterschiedlicher Qualität beobachtet. Bei einer Variante sendeten die Gauner eine einfache SMS mit einer korrekten Anrede, einem Link und dem Hinweis, dass es sich um eine wichtige Information des Hotels handle. Klickt das Opfer auf den Link, öffnet sich eine Buchungsseite im Stil eines Hotels. Dort wird die Eingabe der Kreditkartendaten verlangt.
In einer anderen Variante erhielt das Opfer eine E-Mail vom Hotel mit einem Link zu einem täuschend echt imitierten Buchungsportal von «booking.com». Um die Buchung zu bestätigen, sollte das Opfer über CHF 2000 auf eine IBAN überweisen und anschliessend den Zahlungsbeleg auf das Portal hochladen. Verdächtig ist neben der ungewöhnlichen Zahlungsmodalität auch die Tatsache, dass es sich nicht um eine schweizerische, sondern um eine ausländische IBAN handelt. Die Täter setzen das Opfer zudem unter Druck: Man habe 48 Stunden Zeit, sonst verfalle die Reservierung. Dies ist ein typischer Trick, das Opfer mit einem Zeitlimit unter Druck zu setzen und so zu verhindern, dass Zweifel an der Vorgehensweise aufkommen.
Massnahmen für Hotels:
- Gerade Hotels müssen viele Dokumente öffnen, die von Gästen übermittelt werden. Ausführbare Dateien (.exe, .bat, .cmd, etc.) dürfen aber unter keinen Umständen geöffnet werden.
- Seid vorsichtig bei der Installation von Programmen. Ladet Programme nur aus sicheren und vertrauenswürdigen Quellen herunter.
Sichert euch vorher bei euerem IT-Dienstleister ab, ob diese Software installiert werden kann. Stellt sicher, das der unpersönliche Benutzeraccounts keine lokalen Administratorenrechte haben. Noch besser, lasst Programme nur durch euren IT-Dienstleister überprüfen und installieren. - Seid bei ungewöhnlichen CAPTCHAs vorsichtig.
- Nehmt den Computer beim Verdacht einer Infektion umgehend offline und ändert bei allen Online-Zugängen eure Passwörter von einem anderen, nicht betroffenen Computer aus. Wendet euch umgehend an eueren IT-Dienstleister.
- Regelmässige Backups erleichtern die Wiederherstellung eurer Daten. Wie es bei euerem Hotel aussieht, kann euch euer IT-Dienstleister aufzeigen.
- Haltet die Systeme immer auf dem neuesten Stand.
Sollte durch euren IT-Dienstleister gewährleistet sein!
Massnahmen für Hotelgäste:
- Generell gilt: Gebt keine Passwörter oder Kreditkarten auf Webseiten an, die ihr über einen Link in einer E-Mail oder einer Textnachricht geöffnet habt.
- Keine Bank, kein Kreditkarteninstitut und auch kein Hotel wird euch jemals per E-Mail auffordern, Passwörter zu ändern oder Kreditkartendaten zu verifizieren.
- Informiert umgehend das Hotel und die Buchungsplattform, wenn ihr eine solche Phishing-E-Mail erhaltet.
- Vorsicht bei E-Mails, die eine Aktion von euch verlangen. Dabei kann es sich beispielsweise um das Anklicken eines Links oder das Öffnen eines Anhangs handeln.
- Bedenkt, dass Absender von E-Mails oder SMS leicht gefälscht werden können.
- Installiert, wenn immer möglich, eine Zwei-Faktor-Authentifizierung. Dies bietet eine zusätzliche Schutzebene, um zu verhindern, dass euer Konto gehackt wird.
(Link)
(Link)