Mimecast Logo
Angebot einholen

    Phishing-Kampagne mit Schwerpunkt auf der Hotellerie gibt sich als Expedia und Cloudbeds aus

    8. September 2025

    Von Samantha Clarke, Ankit Gupta und dem Mimecast Threat Research Team

    Wichtige Punkte
    • Großangelegte Kampagne zum Diebstahl von Zugangsdaten, die sich gegen Fachkräfte der Hotellerie richtet
    • Gibt sich als die vertrauenswürdigen Hotelmanagement-Plattformen „Expedia Partner Central“ und „Cloudbeds“ aus
    • Bei solchen Kampagnen wird das Vertrauen in routinemäßige Benachrichtigungen zu Hotelbuchungen und Provisionen ausgenutzt

    Kampagnenübersicht

    Samantha Clarke, Ankit Gupta und das Mimecast Threat Research Team haben eine aktive Phishing-Kampagne aufgedeckt, die sich gezielt an Fachkräfte der Hotellerie richtet und bei der betrügerische E-Mails versendet werden, die vorgeben, von den Plattformen „Expedia Partner Central“ und „Cloudbeds“ zu stammen. Diese Aktion zum Diebstahl von Zugangsdaten nutzt den routinemäßigen Charakter der Kommunikation bei Hotelbuchungen aus, um die Empfänger dazu zu verleiten, ihre Anmeldedaten preiszugeben.

    Die Kampagne verwendet dringliche, geschäftskritische Betreffzeilen, die darauf abzielen, Hotelmanager und Mitarbeiter zum sofortigen Handeln zu bewegen. Zu den gängigen Anreizen zählen Benachrichtigungen zur Provisionsabrechnung, Systemaktualisierungen, Buchungsbestätigungen für Gäste sowie Benachrichtigungen aus dem Partner-Portal. Diese Themen nutzen den zeitkritischen Charakter des Gastgewerbes aus, in dem verspätete Reaktionen auf Gästebuchungen oder Systemwarnungen sich unmittelbar auf den Umsatz auswirken können.

    „Hospitality Lure 1.png“

    Die Angreifer beweisen ein ausgeprägtes Verständnis der Arbeitsabläufe in der Hotellerie, indem sie E-Mails verfassen, die auf bestimmte Plattformfunktionen verweisen, wie beispielsweise "Partner Central," " Provisionsverfolgung," sowie "Gäste-Nachrichten." Die E-Mails leiten die Empfänger auf betrügerische Anmeldeseiten weiter, die den legitimen Benutzeroberflächen von Expedia und Cloudbeds zum Verwechseln ähnlich sehen und darauf ausgelegt sind, Benutzernamen, Passwörter und möglicherweise auch Token für die Multi-Faktor-Authentifizierung abzufangen.

    Hospitality Lure 2.png

     

    Hospitality Lure 3.png

    Die gesamte identifizierte bösartige Infrastruktur nutzt die Anwendungshosting-Plattform von Vercel, was darauf hindeutet, dass die Angreifer die einfache Bereitstellung und den seriösen Eindruck dieses Dienstes ausnutzen, um ihre Websites zum Abgreifen von Anmeldedaten zu hosten. Die konsequente Verwendung von Domainnamen und Subdomains mit Bezug zum Gastgewerbe deutet eher auf eine gezielte, branchenspezifische Kampagne hin als auf opportunistisches, breit angelegtes Phishing.

    Mimecast-Schutz

    Mimecast hat Erkennungsfunktionen implementiert, um E-Mails im Zusammenhang mit dieser auf die Hotellerie ausgerichteten Kampagne zu identifizieren und zu blockieren. Unser „URL Protect“-Dienst blockiert aktiv den Zugriff auf die identifizierten schädlichen Domains, während unsere Anti-Phishing-Engines die E-Mail-Muster und die Merkmale der Betreffzeilen der Kampagne erkennen.

    Wir beobachten weiterhin neue Domains und Vorgehensweisen dieses Angreifers und passen unsere Erkennungsmechanismen im Zuge der Weiterentwicklung der Kampagne entsprechend an.

    Ziele

    Hauptzielgruppe: Fachleute aus der Hotellerie, darunter Hotelmanager, Mitarbeiter im Reservierungsbereich und Immobilienbesitzer, die die Plattformen „Expedia Partner Central“ und „Cloudbeds“ nutzen

    Geografischer Schwerpunkt: Weltweit, mit Schwerpunkt auf Regionen mit hoher Hotelbuchungsaktivität

    Branchen: Gastgewerbe

    Indikatoren für eine Kompromittierung (IOCs)

    Schädliche Domains:

    • Domains zum Thema Cloudbeds:
    • cloudbeds-extranet-verification[.]vercel[.]app
    • console-dashboard-vv[.]vercel[.]app
    • hotel-cloudbeds-app[.]vercel[.]app
    • reservierungssystem-cloudbeds[.]vercel[.]app
    • dashboard-cloudbeds-sign[.]vercel[.]app
    • view-dashboard-lodge[.]vercel[.]app
    • pms-cloud-beds[.]vercel[.]app
    • siginin-dashboard-app[.]vercel[.]app
    • cloudbeds-app[.]vercel[.]app
    • cloudbeds-reservatiob-signin[.]vercel[.]app
    • cloudbeds-verification-manager[.]vercel[.]app
    • cloudbeds-verification[.]vercel[.]app
    • cloudbeds-service-page[.]vercel[.]app
    • signin-cloudbeds-dashboard[.]vercel[.]app
    • cloudbeds-welcome-message[.]vercel[.]app
    • app-cloudbeds-online[.]vercel[.]app
    • cloudbeds-reservetion-dashboard[.]vercel[.]app
    • extranet-cloudbeds-okto[.]vercel[.]app

    Domains zum Thema Expedia:

    • expedia-group-reservation-view[.]vercel[.]app
    • hotel-reservation-expedia[.]vercel[.]app
    • partner-central-okta[.]vercel[.]app
    • preferences-dashboard[.]vercel[.]app
    • expedia-new-signin[.]vercel[.]app
    • expedia-partner-cental-reservation[.]vercel[.]app
    • extranet-expedia-group-central[.]vercel[.]app
    • expedia-group[.]vercel[.]app
    • expedia-customer-reservetion[.]vercel[.]app
    • expedia-proccess-signin[.]vercel[.]app
    • expedia-lodge-dashboard[.]vercel[.]app
    • expedia-central-approve[.]vercel[.]app
    • partner-expedia-pro[.]vercel[.]app
    • expedia-group-service[.]vercel[.]app
    • access-expedia-verification[.]vercel[.]app
    • expedia-payment-verification[.]vercel[.]app
    • expedia-payment-validation[.]vercel[.]app
    • expedia-service-app[.]vercel[.]app
    • expedia-customer-application[.]vercel[.]app
    • v0-reservation-expedia-partner[.]vercel[.]app

    Häufige Betreffzeilen:

    • Betreff: NC 20241 – Jetzt bestätigen: Provisionen ordnungsgemäß erfassen
    • Betreff: Wichtige Systemmeldung – Ref. Nr. 8864560
    • Betreff: Neue Gastnachricht – Ref.: 3779748
    • Betreff: Buchung mit der Referenznummer XP-2232111 – noch in Bearbeitung
    • Betreff: Aktualisierung des Partnersystems – Datensatz 3284891
    • Weiterleitung: Nachricht in der Partner Central
    • Betreff: Über Cloudbeds eingegangene Buchung eines Gastes
    • Weiterleitung: Benachrichtigung von Cloudbeds – Premium-Doppelzimmer reserviert

    Empfehlungen

    Schulung zur Sensibilisierung der Nutzer

    • Schulen Sie das Personal im Gastgewerbe darin, betrügerische E-Mails im Zusammenhang mit Buchungen und Provisionen zu erkennen
    • Führen Sie gezielte Phishing-Simulationen anhand von Szenarien aus dem Gastgewerbe durch
    • Schulen Sie Ihre Mitarbeiter darin, dringende Systemwarnungen zunächst über die offiziellen Kanäle der Plattform zu überprüfen, bevor sie auf Links klicken

    Umsetzung der Sicherheitsrichtlinie

    • Führen Sie (soweit möglich) eine Multi-Faktor-Authentifizierung für alle Konten der Hotelmanagement-Plattform ein
    • Legen Sie Überprüfungsverfahren für per E-Mail eingehende Systemwarnmeldungen fest
    • Erstellen Sie Richtlinien, die vorschreiben, dass Mitarbeiter auf die Plattformen von Expedia und Cloudbeds direkt über in den Lesezeichen gespeicherte URLs und nicht über E-Mail-Links zugreifen müssen

    Proaktive Bedrohungssuche

    • Überprüfen Sie die URL-Protokolle auf Zugriffsversuche auf von Vercel gehostete Domains, die Schlüsselwörter aus dem Gastgewerbe enthalten
    • Überprüfen Sie die E-Mail-Protokolle auf Nachrichten, die die identifizierten Betreffzeilenmuster enthalten
    • Überprüfen Sie Authentifizierungsversuche auf Beherbergungsplattformen, die von ungewöhnlichen geografischen Standorten aus erfolgen
    Zurück zum Anfang