Im Mai 2025 wurden über 39’000 neue Domains mit Urlaubsbezug registriert, wobei eine von 21 als bösartig oder verdächtig eingestuft wurde. Cyberkriminelle haben es mit Phishing-Betrug, der beliebte Plattformen wie Airbnb und Booking.com imitiert, auf Reiseliebhaber und Immobilienbesitzer abgesehen.
Während der Sommerreisezeit haben Cyberkriminelle keine Ferien. Check Point Research (CPR) hat einen drastischen Anstieg von Cyber-Bedrohungen im Zusammenhang mit dem Gastgewerbe und dem Reisesektor festgestellt: Im Mai 2025 wurden 55 % mehr Domains im Zusammenhang mit Urlaub und Ferien erstellt als im gleichen Zeitraum des Vorjahres. Von über 39’000 registrierten Domains wurde eine von 21 als bösartig oder verdächtig eingestuft.
Diese Zunahme betrügerischer Web-Domains ist kein Zufall. Cyberkriminelle machen sich den saisonalen Aufschwung bei der Reiseplanung zunutze, um überzeugende Phishing-Betrügereien zu entwickeln. Diese Scams zielen sowohl auf Verbraucher ab, die Unterkünfte buchen und sich Reiseangebote sichern möchten, als auch auf Gastgeber und Immobilienbesitzer. Von gefälschten Anmeldeseiten mit Markenlogos bis hin zu manipulierten E-Mail-Kopfzeilen – die Taktik ist darauf ausgelegt, vertrauenswürdige Dienste zu imitieren und Anmeldedaten oder Zahlungsdetails zu stehlen.
Gleichzeitig sieht sich die Gastgewerbebranche mit einer beispiellosen Welle von Cyberangriffen konfrontiert. Allein im Mai lag die durchschnittliche Zahl der wöchentlichen Angriffe pro Unternehmen in diesem Sektor bei 1’834. Das ist ein bemerkenswerter Anstieg von 48 % gegenüber Mai 2024 und eine Steigerung von 78 % innerhalb von zwei Jahren. Koordinierte Kampagnen bedrohen nicht nur einzelne Reisende, sondern stellen auch ein Risiko für Hotelketten, Buchungsplattformen und andere wichtige Akteure im globalen Tourismus-Ökosystem dar.
Airbnb Phishing Scam – Versuch, Zahlungsdaten zu stehlen
Check Point Research hat eine Phishing-Website identifiziert, die unter der Domain clflrm-relslrlv-today[.]com betrieben wird und sich als die Marke Airbnb ausgeben soll. Diese betrügerische Website imitiert die Zahlungsseite von Airbnb, einschliesslich des offiziellen Airbnb-Logos, und versucht so, die Benutzer zu täuschen. Indem sie ein falsches Gefühl der Legitimität erweckt, werden die Opfer dazu verleitet, ihre Zahlungsdaten einzugeben, um so sensible Informationen wie Kartennummern, CVV und Ablaufdatum zu stehlen. Die Seite ist derzeit inaktiv.
Booking.com Scam – Eigentümer Login – ClickFix Fake ReCAPTCHA
Check Point Research hat eine bösartige Phishing-Domain-Site identifiziert, die die gefälschte ReCaptcha-Methode von ClickFix verwendet und unter der Domain booking-lossitresn[.]com operiert, die Anfang Mai registriert wurde und die Marke booking.com imitieren soll. Diese betrügerische Website ahmt die Anmeldeseite von booking.com auf der Seite des Immobilienbesitzers nach.
Nachdem der Benutzer seinen Benutzernamen eingegeben hat, erscheint ein Pop-up-Fenster mit einem gefälschten ReCAPTCHA, in dem der Benutzer aufgefordert wird, zu „bestätigen“, dass er ein Mensch ist. Sobald der Benutzer bestätigt, dass er kein Roboter ist, fordert die Website ihn auf, zusätzliche Aktionen auszuführen, indem er die Tasten Winkey + R, Ctrl + V und Enter drückt. Dadurch wird ein bösartiger Befehl eingefügt und ausgeführt, der ein PowerShell-Skript auslöst, das eine RAT-Payload (AsyncRAT) von einem C2-Server herunterlädt und auf dem Computer des Opfers installiert.
Eine weitere Phishing-E-Mail-Kampagne, die auf booking.com-Immobilienbesitzer abzielte, wurde kürzlich von CPR entdeckt. Die Kampagne umfasste mehrere fast identische E-Mails, deren Betreffzeile besagte, dass ein Gast dem Gastgeber eine Nachricht über einen möglicherweise verlorenen Gegenstand von einem früheren Besuch geschickt hatte. Die Absender der E-Mails waren gefälscht, um als Reservierungsnummer zu erscheinen, aber in Wirklichkeit handelte es sich um E-Mail-Adressen, die anscheinend zu Firmenkunden gehören, deren E-Mails möglicherweise kompromittiert oder gefälscht wurden.
Jede E-Mail forderte zur gleichen Handlung auf – Überprüfung der Anfrage des Gastes bezüglich eines möglicherweise verlorenen Gegenstandes -, die zum gleichen Phishing-Link führte (https://knoji[.]digidip[.]net/visit?url=https://resrv-id89149[.]com). Dieser leitete auf die Website resrv-id89149[.]com und schliesslich auf die Subdomain booking[.]resrv-id89149[.]com um. Diese Website wurde am 26. Mai registriert und ist derzeit inaktiv. Aufgrund des Namens der letzten Seite ist es wahrscheinlich, dass diese Seite auch die Anmeldeseite von booking.com imitiert hat.
Bei näherer Betrachtung der Phishing-E-Mails zeigt sich eine grosse Vielfalt an Themen und Inhalten, wobei das gleiche Thema sehr deutlich bleibt. Selbst der Text auf der Schaltfläche unterscheidet sich von E-Mail zu E-Mail. Dies könnte darauf hindeuten, dass die Angreifer generative KI-Tools einsetzen, um ihre Effizienz zu steigern und die Social-Engineering-Aspekte der Angriffe zu verbessern. Dies könnte ihnen auch dabei helfen, die Erkennung durch einige E-Mail-Sicherheitstools zu vermeiden, indem sie jede Nachricht anders und ausgefeilter gestalten.
Die Zunahme von Phishing-Domains und gezielten Angriffen erinnert daran, dass Cyberkriminelle keinen Urlaub machen – wenn überhaupt, dann verdoppeln sie ihren Einsatz, wenn das Nutzerverhalten berechenbarer wird. Für Verbraucher, die den lang ersehnten Urlaub buchen möchten, ist Wachsamkeit wichtiger denn je.
Check Point Research empfiehlt die folgenden Tipps zur Cyber-Hygiene für die Reisezeit:
- Buchen Sie direkt bei offiziellen Quellen. Geben Sie die Adresse der Website immer manuell ein oder verwenden Sie vertrauenswürdige Apps – vermeiden Sie es, auf Links in E-Mails oder Nachrichten zu klicken.
- Überprüfen Sie URLs doppelt. Achten Sie auf raffinierte Rechtschreibfehler oder ungewöhnliche Domain-Endungen (z. B. .today, .info), die häufig von Betrugsseiten verwendet werden.
- Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA). Dadurch wird eine zusätzliche Sicherheitsebene geschaffen, selbst wenn die Anmeldedaten kompromittiert werden.
- Seien Sie vorsichtig mit öffentlichem Wi-Fi. Verwenden Sie ein VPN, wenn Sie auf sensible Informationen wie Bankkonten oder Buchungsportale zugreifen.
- Installieren Sie Endpoint Security. Ein umfassender mobiler und Desktop-Schutz kann Phishing-Versuche erkennen und bösartige Downloads in Echtzeit blockieren.
Proaktive Sicherheitsmassnahmen sind unerlässlich. Da Phishing-Betrügereien immer raffinierter und opportunistischer werden, kann die Kenntnis der Bedrohungslage und das Wissen, wie man darauf reagiert, den Unterschied zwischen einem sicheren und einem gefährdeten Urlaub ausmachen.