Die Herbstferien stehen in vielen Bundesländern in den Startlöchern. Aktuell haben Forscher des IT-Sicherheitsherstellers ESET eine beunruhigende Entdeckung gemacht: Cyber-Betrüger haben ihre Angriffe mit dem berüchtigten Telekopye-Tool auf beliebte Online-Portale für Ferienunterkünfte wie Booking und Airbnb ausgeweitet.
Dabei sind die Kriminellen noch raffinierter vorgegangen und ihre Phishing-Seiten sehen täuschend echt aus. Telekopye ist wie ein digitales Schweizer Taschenmesser mit zahlreichen Funktionen für den Online-Betrug. Die Malware ist bei Tausenden von Hackern im Einsatz. Und das mit Erfolg: Insgesamt konnten die Kriminellen weltweit mehrere Millionen Euro von ahnungslosen Nutzern ergaunern.
„Kriminelle nutzen die Sommer- und Herbstreisezeit schamlos aus. Die große Beliebtheit von Online-Marktplätzen und Buchungsportalen ist auch Cyberbetrügern nicht entgangen, die es auf Daten von Anbietern und Kunden abgesehen haben“ sagt ESET-Forscher Radek Jizba, der Telekopye entdeckt und analysiert hat. „Besonders in der Ferienzeit, wenn viele Menschen Unterkünfte buchen, nutzten Kriminelle diese Gelegenheit schamlos aus.“
Betrug leicht gemacht – selbst für Technik-Laien
Selbst technisch unerfahrene Kriminelle können das Werkzeug problemlos bedienen – Telekopye erledigt alles in Sekundenschnelle für sie. Das Tool ist ausschließlich über Telegram nutzbar: Ein paar Chat-Nachrichten in einer entsprechenden Telegram-Gruppe reichen aus und Telekopye erstellt für den Nutzer Phishing-Nachrichten, -Websites und mehr.
Daten von ESET zeigen, dass Buchungsbetrügereien im Jahr 2024 rasant zugenommen haben. Im Juli überholten sie erstmals die Marktplatzbetrügereien von Telekopye mit mehr als doppelt so vielen entdeckten Vorfällen.
So funktioniert der Urlaubsbetrug
Die Betrüger kontaktieren ihre Opfer per E-Mail und behaupten, es gäbe ein Problem mit der Bezahlung einer kürzlich getätigten Buchung. In der E-Mail befindet sich ein Link zu einer täuschend echt wirkenden Webseite, die die betroffene Buchungsplattform imitiert. Auf dieser Seite sind Details der Buchung wie Check-in-Datum, Preis und Ort zu sehen. Diese Angaben stimmen mit den echten Buchungen der Opfer überein.
Dies gelingt den Betrügern, indem sie Konten seriöser Hotels und Vermieter kapern, deren gestohlene Zugangsdaten sie sich höchstwahrscheinlich in Untergrundforen beschafft haben. Beim Zugriff auf diese Accounts suchen die Kriminellen gezielt nach Nutzern, die kürzlich gebucht, aber noch nicht oder erst vor kurzem bezahlt haben. Das macht es besonders schwer, den Betrug zu erkennen, da die Informationen auf der Phishing-Seite so echt wirken. Einzig die URL verrät, dass etwas nicht stimmt.
Sicherheitsratschläge für Reisende
Um sich zu schützen, empfiehlt Jizba: „Vergewissern Sie sich immer, dass Sie die offizielle Website oder App der Buchungsplattform nicht verlassen haben, bevor Sie irgendwelche Formulare ausfüllen. Wenn Sie auf eine externe URL weitergeleitet werden, ist das ein klares Zeichen für Betrug.“
Schlag gegen Telekopye
Ende 2023 gelang den Strafverfolgungsbehörden in der Tschechischen Republik und der Ukraine ein bedeutender Schlag gegen das Telekopye-Netzwerk. Nach der Veröffentlichung einer Untersuchung von ESET gelang es den Ermittlern, in zwei gemeinsamen Operationen Dutzende Cyberkriminelle festzunehmen, darunter auch führende Mitglieder der Gruppen. Diese kriminellen Netzwerke sollen seit 2021 mindestens fünf Millionen Euro erbeutet haben.
Die Festnahmen führten nicht nur zur Zerschlagung einzelner Gruppe, sondern ermöglichten auch Einblicke in ihre Rekrutierungspraktiken. Diese wurden von Männern mittleren Alters aus Osteuropa sowie West- und Zentralasien angeführt, die Menschen in schwierigen Lebenssituationen über Jobportale mit dem Versprechen auf „schnelles Geld“ sowie gezielt technisch versierte ausländische Studierende an Universitäten rekrutierten. Darüber hinaus sollten Gruppenmitglieder durch Druck vor dem Ausstieg gehindert werden, beispielsweise, indem ihnen Reisepässe und Personalausweise abgenommen wurden.
Weitere Informationen und ein Whitepaper zum Thema gibt es auf WeLiveSecurity.
(vp/ESET Deutschland GmbH)