Reisebüro Darknet: Hacker locken mit Urlaubsangeboten

Die Preise für Flugreisen sind in die Höhe geschossen. Viele Menschen sind eifrig auf der Suche nach Last-Minute-Flügen und Sonderangeboten und lassen sich daher eher mit lukrativen Angeboten locken. Auch dieses Jahr scheinen Hacker und Cyberkriminelle das Bedürfnis nach Erholung und die Schnäppchenjagd in der Vor-Urlaubssaison wieder für ihre Zwecke ausnutzen zu wollen, um sich zu bereichern. Zu diesem Schluss kommen die Sicherheitsexperten von Check Point Research in einem aktuellen Bericht, der ein Schlaglicht auf Cyberkriminelle werfen soll, die denjenigen, die ihre Urlaubskosten reduzieren wollen, falsche Angebote machen.

Die Experten fanden im Dark Net eröffnete, gefälschte „Reisebüros“ und Phishing-Portale, die bekannte Markennamen großer Airlines imitieren und mit Angeboten locken. Das Dark Net hat somit seine eigenen Reiseportale, die auf dem Rücken enteigneter Kunden funktionieren, denn der Vorgehensweise der Täter geht ein anderes Verbrechen voraus: Identitätsdiebstahl.

Cyberkriminelle locken mit gestohlenen Bonuspunkten und Prämien

Eine Methode, die Cyberkriminelle anwenden, besteht darin, gestohlene Zugangsdaten zu Hotel- und Flugkonten anzubieten, auf denen sich Prämien- oder Flugpunkte angesammelt haben. Diese gestohlenen Zugangsdaten werden in Hackerforen im Darknet kostenlos oder zum Verkauf angeboten. Beispiele für solche Konten sind Hotels wie Marriott, Delta und AA. Cyberkriminelle verwenden auch ein spezielles Brute-Forcing-Tool, um beispielsweise Konten von Radisson Hotel, einer internationalen Hotelkette aus den USA, zu stehlen, mit dem Ziel, auf Konten mit Prämienpunkten oder verknüpften Zahlungskarten zuzugreifen. Ein Brute-Force-Tool ist eine Software oder ein Programm, mit dem ein Kennwort oder ein Verschlüsselungscode geknackt oder erraten werden kann, indem alle möglichen Zeichenkombinationen ausprobiert werden, bis die richtige gefunden wird. Brute-Force-Tools werden häufig von Hackern verwendet, um sich unbefugten Zugang zu Computersystemen, Netzwerken und Online-Konten zu verschaffen.

Marktplattform mit den Bonuspunkten und Flugmeilen gestohlener Accounts (Quelle: Check Point Research)

Eine weitere Taktik ist die Einrichtung von „Reisebüros“ in russischen Hacking-Untergrundmärkten. Diese Quasi-Agenturen bieten Flugtickets und Hotelbuchungen für teilweise um die Hälfte reduzierte Preise an. Allerdings werden diese Angebote jedoch über gestohlene Konten von Hotels, Fluggesellschaften und anderen reisebezogenen Websites bestellt. In der obigen Abbildung ist eine Marktplattform zu sehen, die Tickets führender globaler Fluggesellschaften anbietet. Wie der Screenshot zeigt, wird ein American Airlines-Konto mit mehr als 1.500.000 Punkten für 435 US-Dollar verkauft.

Über ähnliche Plattformen können mit Hotelprämienpunkten beispielsweise auch kostenlose Übernachtungen im Marriot-Hotel erworben werden. Der Patriarch-Dienst (zu sehen in Abbildung 2) bietet den Käufern 45-50 Prozent Ermäßigung auf eine ursprüngliche Buchung, die bei seriösen Buchungsstellen im Netz zu finden ist. Auch diese Preisnachlässe werden über gestohlene Konten von Fluggesellschaften und Hotels erzielt, die von den Cyberkriminellen beschafft wurden. Die Anzeige, die im Darknet erscheint (ursprünglich auf Russisch, hier von CPR ins Deutsche übersetzt), bietet Tickets für weltweite Ziele, außer Russland, und hat einen Mindestbestellwert von 325 US-Dollar.

Phishing ist Teil der Betrügereien mit Urlaubsschnäppchen

Die Drahtzieher bedienen sich auch Phishing-Taktiken, indem sie Reiseportale fälschen und über diese versuchen, wertvolle (Zahlungs-)Daten ihrer Opfer abzuschöpfen, die diese bei der Eingabe weitergeben, wenn sie die „Angebote“ wahrnehmen wollen. Dabei geben sich Cyberkriminelle als legitime Unternehmen aus, um ihre Opfer zu ködern. Im untenstehenden Fall handelt es sich um eine Phishing-Website für die Seite der Fluggesellschaft Vietnam Airlines. Sie bietet Angebote und Informationen und lädt Käufer ein, Reisen zu buchen. Sie wurde unter einer ähnlichen Domain namens https://vietnam-airline\[.]org präsentiert.

In einem weiteren Fall, auf den die Sicherheitsforscher von CPR aufmerksam wurden handelt es sich um eine Malspam-Kampagne, die an Opfer gesendet wurde. Darin wurde behauptet, die Empfänger hätten eine Belohnung im Namen der SouthWest Airline gewonnen (ähnliche Kampagnen wurden auch bei anderen Fluggesellschaften gesehen).

Die Mail wurde von verschiedenen Absendern verschickt und trug Überschriften wie „Southwest Airlines Feedback“ oder „You’re Approved“.

Phishing der Website von Vietnam Airlines (Quelle: Check Point Research)