Unicode-Trick täuscht User von Booking.com
Eine Phishing-Kampagne zielt mit einem Unicode-Trick auf User von Booking.com. Ein japanisches Schriftzeichen lässt bösartige Links legitim erscheinen. Wer darauf klickt, fängt sich Malware ein.
Cyberkriminelle nutzen in einer aktuellen Phishing-Kampagne ein japanisches Unicode-Zeichen, um Links so zu manipulieren, dass sie als legitime URLs von Booking.com erscheinen. Wie "Bleepingcomputer" berichtet, dient die Attacke der Verbreitung von Malware. Die Angreifer verwenden demnach das japanische Hiragana-Zeichen "ん" (Unicode U+3093). In bestimmten Schriftarten ähnelt dieses Zeichen der lateinischen Buchstabenfolge "/n", was die User täuschen soll.
Die Betrüger erstellen auf diese Weise URLs, die auf den ersten Blick den Anschein erwecken, zu einer Unterseite der echten Booking.com-Domain zu gehören. Ein Link wie https://admin.booking.com/hotel/hoteladmin/... ist in Wirklichkeit so aufgebaut, dass die eigentliche Domain www-account-booking[.]com lautet. Der gesamte Teil davor ist lediglich eine lange Subdomain-Zeichenfolge, die in der Adresszeile des Browsers zur Täuschung dient. Über die Links verbreitet sich eine MSI-Datei, die wiederum weitere Schadsoftware wie Infostealer oder Fernzugriffs-Trojaner (RATs) nachlädt.
Diese Spoofing-Methode, bei der Cyberkriminelle die Ähnlichkeit verschiedener Schriftzeichen dazu verwenden, falsche Domainnamen vorzutäuschen, ist auch als homografisches Phishing bekannt. Ein klassisches Beispiel dafür ist der kyrillische Grossbuchstabe "О" (U+041E), der für das menschliche Auge nicht vom lateinischen "O" (U+004F) zu unterscheiden ist. Obwohl Softwareentwickler in den vergangenen Jahren Sicherheitsmassnahmen eingeführt haben, um solche Angriffe zu erschweren, bleiben sie eine wirksame Taktik, wie "Bleepingcomputer" weiter schreibt.
Die blosse Sichtprüfung von URLs reicht längst nicht mehr aus, um User zuverlässig vor Betrug zu schützen - besonders dann nicht, wenn die Angreifer auf raffinierte Techniken wie solche Täuschungen durch den Einsatz von Unicode-Zeichen setzen. Dementsprechend empfiehlt "Bleepingcomputer", stets die eigentliche Stammdomain zu überprüfen, die sich am Ende der Adresse vor dem ersten einzelnen Schrägstrich ("/") befindet. Ausserdem empfehle sich weiterhin der Einsatz von aktueller Endpoint-Security-Software, die in der Lage sein sollte, die Ausführung von Malware nach einem Klick auf einen bösartigen Link zu verhindern.
Booking.com gerät übrigens zunehmend ins Visier von Cyberkriminellen. Im zweiten Quartal 2025 liessen sie über 700 Domains registrieren, die den Buchungsbestätigungen des Reiseportals ähnelten – ein Anstieg um das Hundertfache gegenüber früheren Quartalen, wie aus Zahlen des israelischen Anbieters von Cybersecurity-Lösungen Check Point hervorgeht. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Zahl der Brute-Force-Angriffe auf Fortinet nimmt zu
John Wick in Resident Evil 4
Was die Schweizer IT-Bedrohungslandschaft im Juli geprägt hat
Die Abgründe des George Jetson
Rubriks neues Tool macht Fehler von KI-Agenten rückgängig
Hacker stehlen Zehntausende Reisedokumente von Hotelgästen in Italien
Zuger Regierungsrat stellt Cybersicherheitsinitiative vor
Unicode-Trick täuscht User von Booking.com
Betrüger tarnen sich als Inkassofirma
