Security Professionals - ipfw add deny all from eindgebruikers to any

Security & Scam via Booking.com

17-02-2024, 06:43 door security.tank844, 16 reacties
Afgelopen maanden hebben we veel nieuwsberichten voorbij zien komen over phishing-aanvallen via Booking.com.

Twee weken terug had ik een hotel geboekt en pas achteraf, in het hotel, betaald. Daar kreeg ik een factuur bij en daarop stond netjes mijn e-mailadres. Niet mijn privéadres, maar een automatisch gegenereerd e-mailalias bij Booking.com (bijv. mjacks.83733@guest.booking.com).

Nieuwgierig als ik was stuurde ik een e-mail en verwachtte eigenlijk een e-mail van mezelf. Maar, ik kreeg de e-mail binnen op mijn privémail, alsof de afzender de accommodatie is. Inclusief de stijl en logo van Booking.com. Nergens was zichtbaar dat ie van een andere afzender dan van het hotel kwam. Het bericht was zelfs zichtbaar in het berichtensysteem op de website en via de app. Ook daar zag het eruit alsof de accommodatie was die de berichten verstuurde.

Het blijkt dus dat het mailsysteem niet valideert of de afzender wel geautoriseerd is om namens de afzender een bericht te sturen naar de ontvanger. Dit lijkt mij een simpele validatie, die makkelijk door Booking.com te implementeren is.
Ik heb dit gemeld bij Booking.com, maar dit bagataliseren dit en zeggen dat hun security op orde is.

Er zijn 28 miljoen accommodaties aangesloten bij Booking.com. De kans dat er 1 of veel meer deze aliassen lekken via welke weg dan ook is bijzonder groot. Helemaal als je kijkt hoeveel van deze accommodaties hun gegevens bij een derde hosting partij in de cloud hebben staan. Wat als die gegevens (doorlopend) gecompromiteerd zijn?

Ik ben wel benieuwd hoe security/IT experts hiernaar kijken? Het lijk mij toch wel een groot issue, aangezien dit het risico op phishing heel groot maakt. En de validatie gemakkelijk is in te bouwen. Zo'n validatie houdt in ieder geval tegen dat de mails en berichten van de scammers aankomen in de berichtenbox en mail van de gast.
Reacties (16)
17-02-2024, 08:42 door Anoniem
Zoals je dit uitlegt is het volkomen legitiem.

Booking.com pseudonimiseert in hun systeem (voor jouw eigen privacy) jouw email adres met mjacks.83733@guest.booking.com. Nou stuur jij daar een mail heen (van welk emailadres dan ook) en je krijgt een email op jouw privemail. Dat klopt want er is een relatie tussen die twee emailadressen.

Dan heb je het over validatie of de afzender wel geautoriseerd is.

Maar jij stuurt die email toch niet uit naam van mjacks.83733@guest.booking.com (send on behalf? Dus wat valt er te valideren? Jouw emailadres is al correct bevonden (daar heb je immers de boeking mee gedaan).

Niks mis mee dus.

Tenzij je het proces niet goed beschrijft.
17-02-2024, 08:52 door Anoniem
Overigens kan ik deze situatie niet reproduceren, en ik boek al jaren ongeveer 11-15 hotels per jaar via Booking.com
Maar nog nooit heb ik een factuur via mail gehad en nergens in mijn emailclient vind ik mails met de afzender @guest.booking.com

Het is wel goed om te weten dat booking.com geen besloten systeem gebruikt. De hotels voeren hun hotels op via de app (net zoals jij jouw huis kunt opvoeren als B&B). Dus als hun eigen computer of smartphone vol met malware zit, is dat Booking.com niet aan te rekenen.
17-02-2024, 19:17 door Anoniem
Het antwoord staat trouwens hier:

https://partner.booking.com/en-gb/help/legal-security/security/online-security-awareness-phishing

Niks mis met het emailadres @guest.booking.com.
18-02-2024, 14:06 door Anoniem
Door Anoniem: Zoals je dit uitlegt is het volkomen legitiem.

Booking.com pseudonimiseert in hun systeem (voor jouw eigen privacy) jouw email adres met mjacks.83733@guest.booking.com. Nou stuur jij daar een mail heen (van welk emailadres dan ook) en je krijgt een email op jouw privemail. Dat klopt want er is een relatie tussen die twee emailadressen.
In de beschrijving van de topicstarter is de relatie die niet klopt dat elke afzender eruit gaat zien alsof die het hotel is waar geboekt was.

Dan heb je het over validatie of de afzender wel geautoriseerd is.
Validatie of de afzender wel echt dat hotel is, voordat ze het opgemaakt doorsturen alsof dat wel vaststaat, lijkt te ontbreken.

Door Anoniem: Het antwoord staat trouwens hier:

https://partner.booking.com/en-gb/help/legal-security/security/online-security-awareness-phishing

Niks mis met het emailadres @guest.booking.com.
Je bedoelt dat hotels e-mails van die adressen kunnen verwachten. Er staat niets over de validatie van de afzender van e-mails aan *@guest.booking.com als de e-mails de andere kant op gaan.
18-02-2024, 16:29 door Anoniem
Door Anoniem:
Validatie of de afzender wel echt dat hotel is, voordat ze het opgemaakt doorsturen alsof dat wel vaststaat, lijkt te ontbreken.

Het emailadres @guest.booking.com is gewoon een gevalideerd emailadres van booking.com en staat ook gewoon op de door hun zelf aangegeven lijst.
20-02-2024, 12:26 door Anoniem
Door Anoniem: Zoals je dit uitlegt is het volkomen legitiem.
Het probleem met de situatie is niet dat het niet legitiem zou zijn. Het probleem is dat dit iedereen in staat zou stellen om een email te sturen aan een dergelijk adres, dat vervolgens op overtuigende wijze afkomstig lijkt te zijn van booking.com (of een geboekte accommodatie).

Als ik jou een email stuur via dat adres waarin ik zeg "Helaas heeft er zich een probleem voorgedaan met de betaling van uw accommodatie. Kunt u even inloggen op accommodatie-finance-booking.com/betrouwbaar en uw bankgegevens invullen om dit in orde te brengen?", dan giet booking.com dat blijkbaar in een keurige booking.com email met logootjes, fotootjes, en alle correcte en relevante gegevens over jouw boeking en stuurt die naar jou door.

De kans dat jij geneigd bent te denken dat de email en link echt zijn, is dan erg groot. Zeker als je ook op booking.com inlogt en het bericht daar gewoon in je berichtenbox aantreft.
20-02-2024, 14:52 door Anoniem
Enige tijd geleden heb ik ontdekt dat booking.com zeker gehackt is.
Tot op heden heb ik van de security afdeling van booking.com niets vernomen

Wat bleek:

Iedereen die samenwerkt met booking.com krijgt mail vanuit: no-reply@partner.booking.com

Maar ineens kwamen verzoeken binnen vanuit no-reply@partners.booking.com met de vraag of de hotels oa wilde inloggen op een website page.parnters.booking.com die omgeleid werd naar mkto-lon080039.com, om zo hun gegevens te valideren.

Hoe kwam ik er achter zou je denken.
Ik had alleen de juiste mailadressen van booking.com op de white list gezet en daar viel partners, dus met een S niet onder.

Hierdoor heb ik bij vele klanten van het bedrijf waar ik werk voorkomen dat er schade is aangericht.

Booking.com is dus gewoon gehacked of misschien wel via iemand intern die dit in gang kon zetten.
Booking.com blijft volhouden dat ze niet gehacked zijn, echter ik heb bij booking.com aangetoond dat het wel zo is.

Aangezien booking.com niets van zich laat horen hier mijn verhaal:

Op 22 november 2023 heb ik va mail contact bij booking.com gemeld dat er verzocht werd via no-reply@partners.booking.com om account gegevens te valideren.

(Bedrijven die samenwerken met Booking.com loggen dagelijks in dus waarom gegevens validieren!

Je zou zeggen. Dat is een legitiem e-mail adres, echter. de S in partners is niet waar hotels enz mee benaderd worden in de mails.
Dit is no-reply@partner.booking.com <- Dit is het enige juiste mail adres van booking.com voor hotels.

In de mail was een url geplaatst die linkte naar: https://page.partners.booking.com/dc/47o_8Smbw8lgKJC5LJqIgRfhxIJniF8Oj0n- die omgeleid werd naar ip adres 104.17.70.2006 / mkto.lon080039.com
Ik heb de link even afgekort.

Ik heb zelfs bevestiging van een medewerker van booking.com dat het inderdaad een vals mail adres is van booking.com

Dit is dus gemeld bij Booking.com

Hoe ben ik hier achter gekomen?

Simpel.

Ik had de juiste mailadressen van booking.com gewhitelisted voor de klanten waar ik voor werk en deze mail adres werd dus tegengehouden.
Hiermee heb ik voorkomen dat veel booking.com gegevens van oa hotels bloot kwamen te liggen.

En je raad het al. Het blijft stil bij booking.com
20-02-2024, 15:06 door Anoniem
Door Anoniem:
Door Anoniem: Zoals je dit uitlegt is het volkomen legitiem.
Het probleem met de situatie is niet dat het niet legitiem zou zijn. Het probleem is dat dit iedereen in staat zou stellen om een email te sturen aan een dergelijk adres, dat vervolgens op overtuigende wijze afkomstig lijkt te zijn van booking.com (of een geboekte accommodatie).

Als ik jou een email stuur via dat adres waarin ik zeg "Helaas heeft er zich een probleem voorgedaan met de betaling van uw accommodatie. Kunt u even inloggen op accommodatie-finance-booking.com/betrouwbaar en uw bankgegevens invullen om dit in orde te brengen?", dan giet booking.com dat blijkbaar in een keurige booking.com email met logootjes, fotootjes, en alle correcte en relevante gegevens over jouw boeking en stuurt die naar jou door.

De kans dat jij geneigd bent te denken dat de email en link echt zijn, is dan erg groot. Zeker als je ook op booking.com inlogt en het bericht daar gewoon in je berichtenbox aantreft.

Ik begrijp heus wel wat je zegt. Maar toch klopt het verhaal niet.

Ik heb exact 11 minuten geleden een hotel geboekt bij booking.com.
De bevestiging werd naar mij toe verstuurd vanaf confirmation-booking-noreply@booking.com en kwam rechtsreeks binnen op het emailadres waarmee ik bij booking.com inlog.

In die hele transactie komt het domein *@guest.booking.com niet voor.

Vervolgens is in de app of website het enige wat je kan doen (qua email) contact opnemen met het hotel.
En dat gebeurd via het domein *@guest.booking.com (als relayserver).

Dus mijn vermoeden is dat de TS zijn eigen huis als AirBnB heeft opgegeven, daar via zijn eigen prive-emailadres een email heeft gestuurd die via *@guest.booking.com weer bij datzelfde prive-emailadres word afgeleverd. En aangezien potentiele gasten via dat contactemailadres allerlei vragen stellen over parkeerplaatsen, bruisballen, mogelijke massages en handdoeken kan daar ook geen validatie op plaatsvinden.
20-02-2024, 15:13 door Anoniem
Door SecuritySpecialistHospitality: Booking.com blijft volhouden dat ze niet gehacked zijn, echter ik heb bij booking.com aangetoond dat het wel zo is.

Aangezien booking.com niets van zich laat horen hier mijn verhaal:

Op 22 november 2023 heb ik va mail contact bij booking.com gemeld dat er verzocht werd via no-reply@partners.booking.com om account gegevens te valideren.

(Bedrijven die samenwerken met Booking.com loggen dagelijks in dus waarom gegevens validieren!

Je zou zeggen. Dat is een legitiem e-mail adres, echter. de S in partners is niet waar hotels enz mee benaderd worden in de mails.
Dit is no-reply@partner.booking.com <- Dit is het enige juiste mail adres van booking.com voor hotels.

In de mail was een url geplaatst die linkte naar: https://page.partners.booking.com/dc/47o_8Smbw8lgKJC5LJqIgRfhxIJniF8Oj0n- die omgeleid werd naar ip adres 104.17.70.2006 / mkto.lon080039.com
Ik heb de link even afgekort.

Ik heb zelfs bevestiging van een medewerker van booking.com dat het inderdaad een vals mail adres is van booking.com

Dit is dus gemeld bij Booking.com

Hoe ben ik hier achter gekomen?

Simpel.

Ik had de juiste mailadressen van booking.com gewhitelisted voor de klanten waar ik voor werk en deze mail adres werd dus tegengehouden.
Hiermee heb ik voorkomen dat veel booking.com gegevens van oa hotels bloot kwamen te liggen.

En je raad het al. Het blijft stil bij booking.com

Technisch gezien is het ook geen hacking, maar emailspoofing.
En nee, het door jou genoemde emailadres staat niet op de door hun uitgebrachte lijst https://partner.booking.com/en-gb/help/legal-security/security/online-security-awareness-phishing

En het is overigens helemaal niet stil:
https://nos.nl/artikel/2495177-vakantiegangers-opgelicht-via-officieel-berichtensysteem-van-booking-com

https://www.humo.be/achter-het-nieuws/phishing-via-booking-com-lijkt-angstaanjagend-echt-als-het-allemaal-plots-heel-dringend-klinkt-let-dan-op~b87df6b4/?referrer=https://www.google.com/
20-02-2024, 15:44 door Anoniem
Door SecuritySpecialistHospitality: Booking.com blijft volhouden dat ze niet gehacked zijn, echter ik heb bij booking.com aangetoond dat het wel zo is.

Aangezien booking.com niets van zich laat horen hier mijn verhaal:

Op 22 november 2023 heb ik va mail contact bij booking.com gemeld dat er verzocht werd via no-reply@partners.booking.com om account gegevens te valideren.

(Bedrijven die samenwerken met Booking.com loggen dagelijks in dus waarom gegevens validieren!

Je zou zeggen. Dat is een legitiem e-mail adres, echter. de S in partners is niet waar hotels enz mee benaderd worden in de mails.
Dit is no-reply@partner.booking.com <- Dit is het enige juiste mail adres van booking.com voor hotels.

In de mail was een url geplaatst die linkte naar: https://page.partners.booking.com/dc/47o_8Smbw8lgKJC5LJqIgRfhxIJniF8Oj0n- die omgeleid werd naar ip adres 104.17.70.2006 / mkto.lon080039.com
Ik heb de link even afgekort.

Ik heb zelfs bevestiging van een medewerker van booking.com dat het inderdaad een vals mail adres is van booking.com

Dit is dus gemeld bij Booking.com

Hoe ben ik hier achter gekomen?

Simpel.

Ik had de juiste mailadressen van booking.com gewhitelisted voor de klanten waar ik voor werk en deze mail adres werd dus tegengehouden.
Hiermee heb ik voorkomen dat veel booking.com gegevens van oa hotels bloot kwamen te liggen.

En je raad het al. Het blijft stil bij booking.com

Dus jouw klanten hebben een werkende spamfilter waarin jij af en toe geblokte emails controleert.
Dan ontdek jij een mail die afkomstig lijkt van Booking.com en kunt de inhoud daarvan niet lezen door het emailadres te whitelisten.

Vervolgens blijkt het spam. Terecht geblokt dus want er stond een malafide URL in de mail (die jij nu dus voor je klanten hebt gewhitelist). Waar nu dus niet alleen jij op kunt klikken maar al je klanten.

En dan maak je een account aan met SecuritySpecialistHospitality.
ten 1e heb ik al langer een account hier maar goed.

Ten 2e is het mijn werk om ervoor te zorgen dat de hotels / bedrijven waar ik voor werk te voorkomen dat ze opgelicht worden door phishing mails.

ten 3e.. hoe zo spoofing. Ze hebben de dns van booking.com gebruikt.

Dus legt dat eens uit.
20-02-2024, 16:23 door Anoniem
Door SecuritySpecialistHospitality:

ten 3e.. hoe zo spoofing. Ze hebben de dns van booking.com gebruikt.

Juist niet. Dan hadden ze een foutmelding gehad. Bovendien heeft Booking.com hun eigen DNS niet in beheer.

Door SecuritySpecialistHospitality:
Dus legt dat eens uit.

https://www.crowdstrike.com/cybersecurity-101/spoofing-attacks/email-spoofing/

Wat er gebeurd bij Booking.com is het volgende:
Een attacker mailt een willekeurig hotel met bv de vraag "kan ik deze auto parkeren?" en stuurt een plaatje van zijn auto mee. De hotelclerk klikt op dat plaatje en installeert onbedoeld mailware in de hotelcomputer.

Deze hele werkwijze is al eens uitgelegd op internet. Booking.com is dus niet gehackt, de computers van sommige hotelketens zijn gehackt (wellicht doordat hun SecuritySpecialist hun adviseerde om mailtjes op de whitelist te zetten)

Booking.com heeft hun partners met klem geadviseerd om MFA te implementeren in hun systemen:
https://www.thecaterer.com/news/hotels-booking-dot-com-scams

Als ik jou was zou ik dat advies deze week nog opvolgen en dat emailadres weer van de whitelist halen voordat er erge dingen gebeuren.
22-02-2024, 11:59 door Anoniem
Door Anoniem:
Als ik jou was zou ik dat advies deze week nog opvolgen en dat emailadres weer van de whitelist halen voordat er erge dingen gebeuren.
Alhoewel ik het eens ben met een aantal van je punten, heb je de post van SecuritySpecialistHospitality volgens mij niet goed gelezen.

Hij zegt dat hij juist de legitieme adressen van booking.com op een whitelist heeft staan. De valse emails werden daardoor tegengehouden. Hij merkte hierdoor op dat deze geblokkeerde emails van @partners.booking.com kwamen, in plaats van het gebruikelijke adres @partner.booking.com.

Hij zegt nergens iets over het aan een whitelist toevoegen van dit adres; dat lijk je er zelf in gelezen te hebben.
23-02-2024, 10:50 door SecuritySpecialistHospitality - Bijgewerkt: 23-02-2024, 10:51
Klopt wat je zegt,

Maar ik vond nu wel eens tijd om ergens te melden dat Booking.com zeker wel op de hoogte moet zijn geweest van de problemen aangezien er mails rond gaan vanuit Booking.com waarin wordt gevraagd om inloggegevens te valideren.

Dus niet misschien de juiste topic maar ergens mag het bekend zijn.

Hieronder het antwoord van een manager van booking.com die ik in de mail heb ontvangen op 22-11-2023

---

Oh wauw. Netjes dat deze eruit is gepikt, want deze lijkt extreem op onze partner communicatie die er recentelijk uit is gegaan.
Het e-mail adres is inderdaad onjuist.

Dank voor het flaggen,

---

En het onderwerp is Security en Scam
23-02-2024, 12:24 door Anoniem
Door SecuritySpecialistHospitality: Klopt wat je zegt,

Maar ik vond nu wel eens tijd om ergens te melden dat Booking.com zeker wel op de hoogte moet zijn geweest van de problemen aangezien er mails rond gaan vanuit Booking.com waarin wordt gevraagd om inloggegevens te valideren.

Dus niet misschien de juiste topic maar ergens mag het bekend zijn.

Hieronder het antwoord van een manager van booking.com die ik in de mail heb ontvangen op 22-11-2023

---

Oh wauw. Netjes dat deze eruit is gepikt, want deze lijkt extreem op onze partner communicatie die er recentelijk uit is gegaan.
Het e-mail adres is inderdaad onjuist.

Dank voor het flaggen,

---

En het onderwerp is Security en Scam

Nogmaals,

Het probleem ligt niet bij Booking.com, maar bij het extranet wat gebruikt wordt door hun partners.
Booking.com maakt gebruik van de Cloudservice van AmazonWS.

Als je een zoekslag maakt op de dns toevoeging partnerS.booking.com dan zul je zien dat je van AWS terugkrijgt dat partners.booking.com geen bestaan dns is. En dus ook geen MX record kan hebben en dientengevolge ook geen mails kan versturen.

En dat is dus juist de reden dat jouw spamfilter deze mail onderschept: de afzender bestaat niet.

Dus de stelling "De DNS van Booking.com is gehackt" klopt niet. De infrastructuur van Booking.com is niet gehackt, ze hebben deze ondergebracht als SaaS bij AWS en bij AWS is er ook nog geen crisisteam ingericht op dit onderwerp.

Er zijn computers in het extranet van de partners van Booking.com geinfecteerd met malware.
En omdat die computers geen eigendom zijn van Booking.com maar van hotelketens heeft Booking.com ook geen regierol in de oplossing. En omdat ze geen regierol hebben kunnen ze (en hoeven ze dat niet) er niets over zeggen.

Het enige wat Booking.com KAN doen is hun partners adviseren om MFA te implementeren zodra ze het extranet gebruiken. En dat hebben ze dus ook inmiddels geadviseerd.

Booking.com gaat niet over de computers van hotelketens.

En er worden ook geen mails verstuurd uit naam (of vanaf de infrastructuur van) van Booking.com, want @partners.booking.com is niet geldig en bestaat niet op het internet, en valt zeker niet onder verantwoording van Booking.com.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.