image

Phishing via gekaapte hotel-accounts op Booking.com nog altijd gaande

maandag 4 november 2024, 11:33 door Redactie, 5 reacties

Nog altijd vinden er phishingaanvallen plaats via gekaapte hotel-accounts op Booking.com, zo bevestigt het reserveringsplatform. Afgelopen juni riep Booking zowel hotels als gasten op om tweefactorauthenticatie (2FA) voor hun accounts te gebruiken. Bij de phishingaanvallen weten aanvallers de systemen van hotels met malware te infecteren en kunnen zo de inloggegevens voor het account op Booking.com stelen.

Vervolgens sturen de aanvallers naar gasten die bij het betreffende hotel hebben geregistreerd een phishingbericht dat de gegevens opnieuw bevestigd moeten worden. De meegestuurde link is een phishingsite die om creditcardgegevens en andere informatie vraagt. Doordat het bericht van het hotel zelf via het Booking.com-platform afkomstig is, kunnen gasten denken dat het om een legitiem bericht gaat. Deze werkwijze vindt al enige tijd plaats. Een jaar geleden beschreef securitybedrijf Secureworks hoe een hotel met infostealer-malware werd gecompromitteerd.

Infostealer-malware steelt allerlei gegevens van het systeem, waaronder ook de inloggegevens van het hotel voor Booking.com. Het hotel in kwestie waarover Secureworks schreef maakte geen gebruik van 2FA, waardoor de aanvallers met de gestolen data meteen op het account konden inloggen. Vervolgens werden er phishingberichten naar gasten gestuurd.

It-journalist Brian Krebs meldt op basis van een nieuw gecompromitteerd hotel dat deze phishingaanvallen nog altijd plaatsvinden. Booking.com bevestigt dit. Volgens het reserveringsplatform was het hotel waarover Krebs schrijft besmet geraakt met malware. Booking voegt toe dat 2FA inmiddels voor partners verplicht is en wordt gehandhaafd. Krebs merkt op dat het onduidelijk is of deze 2FA-verplichting voor alle of alleen nieuwe partners geldt die via het platform actief zijn.

Image

Reacties (5)
04-11-2024, 15:41 door Anoniem
Ik vraag me af hoe die 2FA geïmplementeerd is... Met een geheime sleutel die op de client computer staat, terwijl gebruikersnaam en wachtwoord in de browser te vinden zijn?
04-11-2024, 19:45 door Anoniem
Ook deze zomer nog meegemaakt, verdachte e-mail van het hotel ontvangen vanuit Booking.com die echt raar overkwam. We hebben dan het hotel gebeld en die wisten nergens van, ze vroegen ons wel om het stil te houden.
04-11-2024, 20:54 door Anoniem
Ik boekte een kamer wop Booking welke via een "partnerrelatie" werd aangeboden. Bleek bij aankomst in het betreffende hotel via een CHINESE site geboekt te hebben, bizar
05-11-2024, 07:57 door Anoniem
Door Anoniem: Ik boekte een kamer wop Booking welke via een "partnerrelatie" werd aangeboden. Bleek bij aankomst in het betreffende hotel via een CHINESE site geboekt te hebben, bizar
Dan vermoed ik dat het hotel of de hotelketen een Chinese eigenaar heeft. Vergis je niet: China heeft op enorme schaal buiten China geïnvesteerd in van alles en nog wat. Ik las ergens dat ze 35% van de Rotterdamse haven bezitten, bijvoorbeeld.
05-11-2024, 08:44 door Anoniem
Een van de methodes hoe aanvallers dit doen is via management portalen, niet die van booking.com zelf maar juist 3de partijen die "plug-ins" leveren van booking. Deze hebben hun security niet op orden en worden via kwetsbaarheden geëxploiteerd.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.