@tomkalei Tatsächlich ist so ein spearphishing nach...

Thomas Kahle :verified:'s posts Post Back to profile

@tomkalei Tatsächlich ist so ein spearphishing nach Datenabfluss in Deutschland leider keine Seltenheit. Habe da schon aus verschiedenen Quellen einiges gesehen, es waren viele namhafte Unternehmen betroffen. Mit ist es mal mit der Bahn passiert, allerdings wurde da einfach abgebucht ohne Autorisierung, das ging schnell wieder rückgängig.

Wenn es seltsam aussieht, immer den Email Server checken und sehen, ob er wirklich aus der Parent-Domain von Expedia kommt. An sich ist es möglich, dass Angreifer kurzzeitig Domains registrieren, die ähnlich aussehen wie die Originaldomains (z.B. chat.expedia.de). Hier sollte man checken, ob das wirklich registrierte Subdomains sind. Das geht z.B. hier: https://subdomainfinder.c99.nl/

Sprach-Wechsel zwischen E-Mails sind auch Grund zur Besorgnis, gerade wenn sie vom selben Anbieter sind.

Like 20 April at 10:21 | Wall-to-wall | Open on infosec.exchange

6 comments

Thomas Kahle :verified: replied to Oliver D. Reithmaier

@odr_k4tana

Die Mails kamen wirklich von Expedia. Wurde mir ja auch am Telefon bestätigt. Die Angreifer konnten Mails über die echte Expedia IT schicken:

https://machteburch.social/@tomkalei/112241152212001731

Sprach Wechsel macht Expedia selbst ständig. Meine Rechner sind alle auf US eingestellt aber ich bin in DE…

20 April at 10:35 | Open on machteburch.social

Oliver D. Reithmaier replied to Thomas Kahle :verified:

@tomkalei naja. Du hast E-Mails sowohl auf Deutsch als auch auf Englisch geposted. Dein User Agent ist normalerweise registriert bei Expedia, heißt die sollten die Sprache konstant halten (war/ist bei meiner Nutzung auch so, ich erhalte z.B. alles auf Englisch).

Ich bin erstmal skeptisch, ob das wirklich von Expedia selbst kam. Die Datenschutz Email legt nahe, dass du einfach eine relay-email erhalten hast, die über einen internen Messenger vom Hotel an den Email-Verteiler von Expedia versandt wurde (daher auch die Senderadresse Chat.expedia.de; die taucht in den sichtbaren Subdomains nicht auf!). Das Problem liegt also beim Hotel selbst, nicht bei Expedia. Prinzipiell können dir Hotels ja Messages schicken ohne Ende. Expedia leitet die einfach weiter und legt die eigene Maske automatisiert drüber. Insofern wurde das Hotel wohl gebreacht und die Angreifer haben dann über den Messenger zu Expedia gephisht. Expedia selbst hat da erstmal wenig mit zu tun...das ist vermutlich auch der Grund, warum sie dir anfänglich nicht helfen konnten: es war wirklich nicht ihr IT-Problem (höchstens sekundär).

An sich ein kluger Angriff!

Expand text...

20 April at 11:32 | Open on infosec.exchange

maexchen1 replied to Oliver D. Reithmaier

@odr_k4tana

Datenschutz bedeutet aber auch, dass man nicht immer gleich und überall erkennbar ist.

Warum wechselt bei euch der User Agent nicht?

@tomkalei

21 April at 7:09 | Open on nrw.social

Oliver D. Reithmaier replied to maexchen1

@maexchen1 @tomkalei nein. Datenschutz ist Schutz bestehender Daten vor dritten. Was du meinst ist Verhinderung des Generierens von Daten. Das sind zwei paar Schuhe. Und ich verstehe nicht, was das mit meinem Post zu tun hat. Ich beziehe mich auf den Screenshot der "Datenschutz-Email".

21 April at 7:21 | Open on infosec.exchange

derlemue :vf: :af: :ns: :ad: replied to Oliver D. Reithmaier

@odr_k4tana @tomkalei chat.expedia.de geht vermutlich nicht so leicht, aber expedia.chat.de wäre ne Möglichkeit.

21 April at 9:58 | Open on social.lemue.org

Oliver D. Reithmaier replied to derlemue :vf: :af: :ns: :ad:

@derlemue @tomkalei true. Ich würde bei sowas über dashes gehen (chat-expedia.de). Im Normalfall bleibt die eben nicht so lange on, weil größere Firmen im Normalfall den domainspace überwachen und solche neuen Domains melden.

Gab mal bei Lufthansa einen Fall, bei dem das tatsächlich funktioniert hat.

21 April at 10:01 | Open on infosec.exchange