Moin. Ich versuche mich kurz zu halten:
Heute morgen kam eine Mail von booking.com. Information zu meiner Hotelbuchung.
Meine Zahlungsmethode sei unklar.
Da die Mail auf englisch verfasst war, wurde ich stutzig, wollte keine Links anklicken.
Stattdessen auf booking.com angemeldet (händisch eingetippert) und in die Buchungsverwaltung. Dort dicker roter Rahmen mitten auf der Seite: Nachricht vom Hotel, bla, gleiche Message. Ok, denke ich mir. Neues Hotel, die kennen mich noch nicht.
Kreditkartendaten zur Überprüfung eingegeben.
Meldung von der Banking App abgewartet.
Banking App sagt: bitte Zahlung über 4.999,00€ authorisieren.
Abgebrochen.
Bank angerufen. Bank ruft Visa an. Visa sagt: Zweimaliger Abbuchungsversuch über die genannte Summe aus der Ukraine.
Wo liegt der Fehler? (Außer bei mir natürlich)
Wo hakt sich der Scammer ein? Bei booking.com? Beim Hotel? Ich versteh’s nicht.
Kann da einer das Zusammenspiel der Server im Hintergrund erklären?
Vielen Dank im Voraus.
G
Das von dir geschilderte kann mehrere Ursachen haben.
Jemand kontrolliert / manipuliert deinen Rechner. Bist du dir sicher, dass du auf booking.com warst und nicht auf einer manipulierten Seite. Ist möglich und da müsstest du mal nachschauen.
Oder jemand hat Zugang zum System des Hotels oder deren booking.com Account? Dies ist meine Favorit, weil die Hacker damit nicht nur dich sondern weit mehr Leute zur Herausgabe der Kreditkartendaten „ansprechen“ können.
Oder jemand hat unberechtigten Zugriff auf das booking.com System, was ich aber nicht glaube, denn das würde schon längst in der Presse stehen.
Danke für Deine Einschätzung, @media-floppy .
Was den eigenen Rechner angeht, bin ich mir einigermaßen sicher. Zumal es dann wesentlich einfachere Methoden gegeben hätte, Daten (und Geld) abzugreifen.
Die Mail ist von booking.com und ich war auf secure.booking.com (siehe screenshots von Mail und Website.)
Ich habe versucht, booking zu erreichen, was jedoch (außer einer Nachricht mit Bitte um Rückmeldung) einigermaßen erfolglos war. Das übliche Bla bei den großen Plattformen eben.
Da mir das WHOIS von „verif-2.cloud“ nicht allzu vertrauenswürdig erscheint, vermute ich ebenfalls, dass das Problem in Richtung Hotel bzw. deren Booking-Zugang zu verorten ist.
Danke für den Hinweis.
WHOIS hatte ich nun natürlich nicht abgefragt vor dem Anklicken.
Wäre bei sensiblen Themen vielleicht noch ein sinnvoller Zwischenschritt.
Bei einem Registrierungsdatum der Domain zwei Wochen vorher hätte ich sicher Lunte gerochen.
Diese Verifizierungsfirmen schießen ja leider wie Pilze aus dem Boden.
Beim Hotel hatte ich übrigens angerufen. Die junge Dame am Telefon hat mich eher abgewimmelt, als sie gehört hat worum es ging.
Ich kann denen ja nochmal eine Mail schreiben. Vielleicht hilfts.
Das sieht für mich garantiert nach einer Lücke beim Hotel genauer gesagt deren Account bei Booking.com aus. Wenn du eine solche E-Mail bekommst, dann ist die auch im Chatsystem auf der Seite von Booking.com verfügbar.
Ist das bei dir der Fall?
Wenn ja, ist der Hotelaccount kompromittiert und ich würde dem Hotel eine Mail schicken. Sollte keiner innerhalb von 2–3 Tagen reagieren, gib es an die CT, die freuen sich sicher darüber!
Alternative wäre eine Anzeige, auf eine Nachfrage von der Polizei reagieren beide sicher viel direkter! ;-9
Ist ja ein versuchter Betrug und die haben deine Daten!
Ja, im ersten Bild oben hatte ich einen roten Pfeil eingesetzt. Dort im Postfach ist die Nachricht ebenfalls vorhanden.
Gut, ich schreibe denen nochmal. Vielleicht passiert was.
Heise ist auch ein guter Tip. Ich denke nur, die bekommen wahrscheinlich Dutzende solcher Mails pro Tag.
Wenn vom Hotel nichts sinnvolles zurück kommt, schalte ich die Polizei ein.
Wollte nur vorher geklärt haben, dass es nicht ausschließlich meine Blödheit war.
Ich kann Dir aus Erfahrung sagen - trotz vermutlich dutzender Mails an die c´t- hatte ich in zwei Angelegenheiten recht schnell schon direkten Kontakt zu Redakteuren inkl. Recherchen und Rückmeldungen dererseits.
Mir ists auch schon untergekommen im Beruf.
Ein Kollege hat mir eine Ähnliche Mail gezeigt.
Auffällig ist, dass die ganzen Infos im der Mail stimmten.
JA, sogar der Absenderserver war korrekt.
Der enthaltene Link war https:// booking-reservation.su/reservation/406631531 (Zahlen geändert)
Der war natürlich auffällig. Vor allem, war die Domain zum Zeitpunkt des Erhalts nur wenige Tage registriert laut whois Abfrage im Linux Terminal:
whois booking-reservation.su
% TCI Whois Service. Terms of use:
% https://tcinet.ru/documents/whois_ru_rf.pdf (in Russian)
% https://tcinet.ru/documents/whois_su.pdf (in Russian)
domain: BOOKING-RESERVATION.SU
state: REGISTERED, NOT DELEGATED
person: Private Person
e-mail: honniehannetin12@gmail.com
registrar: FE-SU
created: 2023-06-27T11:42:02Z
paid-till: 2024-06-27T11:42:02Z
free-date: 2024-07-30
source: TCI
Last updated on 2023-09-30T14:26:30Z
Unterhalb dann dieser Text:
Best Regards,
Receptionist
Dear guest, this is not a prepayment, this is a card check, card check is a
mandatory procedure, please follow the link above, enter your card details,
you will be sent a push notification and an SMS code, after which you will
be charged the amount of the reservation, and immediately return this money
to your account, we repeat, this is not an advance payment, but a card
check, if you even paid for the reservation, you need to go through a card
check, this is not our initiative, this is a booking initiative.
Abschließende BEwertung:
Die Mail kam laut Logs von booking. com, also legitim.
Die Hacker haben einen Fehler im Booking. com Template ausgenutzt.
Das kam auch schon bei Paypal vor in der Vergangenheit.
Hierzu wurden verschiedenste Datenquellen kombiniert und ausgewertet. Folge: Internationaler Haftbefehl
Die Gesuchten sollten sich besser nicht mehr in Europa blicken lassen.
Hab ich das jetzt richtig verstanden, das die haarlose Grinsebacke für die IT arbeitete und die Infrastruktur von booking für illegale Machenschaften genutzt wurden?
Zahlung läuft ja gar nicht über Booking, sondern wird von dem Hotel verarbeitet. Bei allen Hotels bei denen das bei mir so war, wird dann eben vor Ort gezahlt. Auf solche Mails würde ich nicht drauf eingehen. Ein einfacher Anruf reicht dann ja aus, um zu erfahren, ob man vor Ort zahlen kann oder eben nicht.
Das ist zwar eine Alternative, aber dann sollte man vor Ort strikt genommen bar bezahlen, denn in einem Hotel, deren IT wahrscheinlich Kriminelle gekapert haben, würde ich nicht mit Kreditkarte bezahlen wollen.
