Kreditkartendaten in Gefahr

Warnung: Betrugsversuche bei Booking.com

Veröffentlicht: 24.01.2024 | Geschrieben von: Yvonne Bachmann | Letzte Aktualisierung: 30.01.2024
Junger Mann im gelben Hemd sitz vor Laptop, auf dem die Booking.com-Startseite aufgerufen wurde

Zu Beginn des Jahres planen viele Menschen voller Vorfreude ihre Urlaubstage für die kommenden Monate und suchen im Internet nach Pauschalreisen oder Hotels. Nicht nur die Verbraucherzentrale rät aktuell jedoch zur Vorsicht, wenn man sich eine Unterkunft über das Hotelbuchungsportal Booking.com bucht, denn dort soll es zu Phishing-Versuchen gekommen sein.

Kurz & knapp:

Worum geht es? Nach einer Buchung auf Booking.com trifft eine vermeintliche Nachricht der Unterkunft ein, die Zahlungsdaten erneut anzugeben/zu verifizieren. Es ist jedoch bei Booking.com nicht üblich, dass Kreditkartendaten per Chat-Nachricht, o. ä. erneut abgefragt werden.

Wie kann man sich schützen?

  • Die Bezahlung sollte nur über Booking.com abgewickelt werden (keine Links in Mails anklicken!).
  • Bei Unklarheiten soll bei Booking.com oder der Unterkunft nachgefragt werden.

 

Phishing-Attacken: Aufforderung zur Zahlung an Reisende

Wie die Verbraucherzentrale gerade berichtet, soll eine Vielzahl von Menschen, die über Booking.com gebucht haben, Opfer von Betrugsversuchen geworden sein. Diese hatten tatsächlich eine echte Buchung über das Portal aufgegeben. Infolge eines Phishing-Angriffs sollen sich die Betrüger jedoch Zugriff auf die Accounts der Unterkünfte verschafft haben, um so die Angriffe zu initiieren. 

Der Phishing-Versuch läuft dann wie folgt ab: Direkt im Nachrichtenportal von Booking.com wird die betroffene Person im Namen der Unterkunft, deren Account gekapert wurde, angeschrieben und zur Verifizierung der Zahlungsdaten aufgefordert. „In der Nachricht wurde ich darüber informiert, dass es ein Problem mit den hinterlegten Kreditkartendaten gibt und meine Reservierung in Gefahr sei, deswegen sollte ich einen Verifikationsprozess durchlaufen, um mein gebuchtes Zimmer nicht zu verlieren“, bestätigt auch unsere Redakteurin Corinna, die persönlich von dem Vorfall betroffen ist.

Hier ein Beispiel, wie die Nachrichten aussehen können:

Beispiel-Nachricht vom 17.01.2024

Parallel dazu werde in einigen Fällen eine täuschend echte WhatsApp-Nachricht versendet, ergänzt die Verbraucherzentrale. Die verlinkte Internetseite stamme jedoch nicht vom gebuchten Hotel oder Booking.com, sondern führe direkt zu den Betrügern, die die Zahlungsdaten hierüber abgreifen. 

Wann die Nachrichten eintreffen, ist offenbar unterschiedlich. Einige Betroffene hätten die Nachrichten kurz nach der Buchung erhalten. Im Fall unserer Redaktionskollegin Corinna kam die Nachricht kurz vor dem geplanten Aufenthalt, was die Drucksituation noch einmal erhöht. Ob die Phishing-Versuche auch Einfluss auf die Buchung haben oder es den Tätern nur um die Kreditkartendaten geht, die Buchung ansonsten Gültigkeit hat, ist nach jetzigem Stand unklar. Wir haben Booking.com dazu um ein schnelles Statement gebeten.

Wie kann man sich schützen?

Wenn es so einfach wäre, Phishing-Attacken zu erkennen, würde es nicht reihenweise Attacken (und Opfer) geben. Auch die aktuellen Vorfälle bei Booking.com machen davon keine Ausnahme. Nachfolgend geben wir jedoch ein paar Tipps, wie man vorbeugen und im Fall der Fälle reagieren kann, auch wenn die Drucksituation kurz vor einer Reise besonders hoch ist:

  • Gut zu wissen: Es ist unwahrscheinlich, dass eine einmal geleistete Angabe der Zahlungsdaten erneut verifiziert werden muss. Booking.com betont, dass sensible Informationen wie Kreditkartendaten per E-Mail, Chat-Nachricht, SMS, WhatsApp oder Telefon nicht verlangt werden.
  • Die Bezahlung sollte direkt über Booking.com abgewickelt werden. Soweit vorhanden, sollte die Bezahlung vor Ort genutzt werden oder eine andere sichere Zahlungsart.
  • Es sollten keine Links angeklickt werden, die direkt zur Eingabe von persönlichen Daten führen, auch wenn die Webseite der echten Booking.com-Seite sehr ähnlich ist.
  • Bei Unsicherheiten sollte direkt in der Unterkunft (idealerweise über direkte Kanäle wie Telefon und E-Mail, denn auch die Nachrichten-Funktion direkt über das Portal kann gekapert sein!) oder bei Booking.com nachgefragt werden.

 

Wer doch im Eifer des Gefechts auf die Nachricht hereingefallen oder sich unsicher diesbezüglich ist, sollte umgehend die Transaktionen auf dem betreffenden Bankkonto kontrollieren und seine Bank kontaktieren. Für unberechtigt abgebuchte Zahlungen kann man bei seiner Bank einen Widerspruch einlegen. In diesem Zuge wird meist gleich die Kreditkarte gesperrt. Eine Anzeige bei der Polizei ist ebenfalls ratsam, was trotz geringer Erfolgsaussichten mittlerweile recht einfach über die Online-Wachen der jeweiligen Bundesländer möglich ist.

Dass Booking.com bisher keine Bestrebungen unternahm, seine Kundinnen und Kunden selbst über die Vorfälle zu unterrichten, ist enttäuschend, resultiert aber möglicherweise aus den Vorgaben der DSGVO. Wir haben das Thema Meldepflichten bei Datenpannen bereits ausführlich erörtert.

Sobald wir ein aktuelles Statement von Booking.com haben, werden wir dies in diesem Artikel ergänzen.

Update vom 30.01.2024

Gegenüber unserer Redaktion bestätigte Booking.com jetzt die Vorfälle. Einige der Unterkünfte seien tatsächlich von Phishing-Taktiken durch professionellen Cyber-Kriminelle betroffen. Bei diesen Phishing-Angriffen würden die Beherbergungspartner dazu verleitet, auf Links oder Anhänge zu klicken, was zur Installation von Malware und schließlich zum unbefugten Zugriff auf das Booking.com-Konto der Unterkunft führe, heißt es in dem Statement. So sei es den professionellen Betrüger:innen schließlich möglich gewesen, sich als Unterkunft auszugeben und mit den Gästen per E-Mail oder Nachricht zu kommunizieren, wie am Beispiel oben zu sehen ist.

Booking.com betonte, dass es kein Datenleck auf der Plattform gegeben habe und die Plattform auch nicht gehackt worden sei. Die Zahl der betroffenen Unterkünfte sei ebenfalls nur einen Bruchteil der gelisteten Partner:innen. Das Unternehme tue weiterhin alles, dass solche Vorfälle erkannt oder bestenfalls unterbunden werden.

Neben den umfangreichen Leistungen in puncto Rechtssicherheit im Online-Shop bietet der Händlerbund auch den Rundum-Service für den Datenschutz in Unternehmen. Mit dem Datenschutz-Paket Pro stehen Unternehmern nicht nur passende Datenschutzerklärungen, umfangreiche Vorlagen und Checklisten zur Verfügung, sondern auch ein externer Datenschutzbeauftragter. Weitere Informationen zum Datenschutz-Paket Pro finden Sie hier.

Artikelbild: http://www.depositphotos.com

Über die Autorin

Yvonne Bachmann
Yvonne Bachmann Expertin für: IT-Recht

Yvonne ist schon seit Beginn ihrer juristischen Laufbahn mit Leib und Seele im IT-Recht unterwegs. Seit Anfang 2013 ist sie als Volljuristin beim Händlerbund tätig und berät dort hilfesuchende Online-Händler in Rechtsfragen rund um ihren Shop. Genausolange berichtet sie bei uns zu Rechtsthemen, welche die E-Commerce-Branche aufwirbeln. 

Sie haben Fragen oder Anregungen?

Kontaktieren Sie Yvonne Bachmann

Kommentare  

#4 anja 2024-01-25 12:20
sorry, aber solche maschen laufen doch schon seit jahrzehnten über alle möglichen abzocker und zahlungsweisen. wer auf so etwas immer noch reinfällt, dem ist echt nicht zu helfen. habe im oktober und november alles mögliche (auch innerhalb USA während der reise) über booking.com gebucht. erstens sollte man die zahldaten niemals auf einem handy oder bei der plattform speichern lassen und alle weiteren fragen dann nur noch direkt mit der unterkunft etc. oder booking.com regeln, was aber nie notwendig war. weiterhin hatte ich meinen finanzspielraum über die creditcard eingeschränkt und meine bank darüber informiert, wo und wie lange ich im ausland sein werde und abgecheckt, daß und wie ich fälschliche buchungen stornieren kann. bei einer normalen kreditkarte hat man bis zu 4 wochen dazu zeit, aber auch die stornierung im nachhinein ist möglich. wenn man im vorfeld etwas bucht und nicht gerade auf tour ist, ist es ja noch einfacher, sich direkt bei booking.com, dem hotel oder mietwagenfirma u.a. oder bei der bank selbst telefonisch oder per email anzufragen, ob es noch unklarheiten gäbe. sollten dennoch mal bankdaten in falsche kanäle geraten (ist mir vor ca. 12 jahren mal passiert, auf welchem weg ist unbekannt), dann ist es fast noch einfacher, weil man dann hier direkt auf das kreditkonto schauen und die bank kontaktieren kann oder noch besser: finanzspielraum knapp bemessen und zugriff über kreditkartendat en einschränken. geht alles, sofern man nicht nur mit kostenlosen onlinebanken arbeitet ;)
Zitieren
#3 Patrick 2024-01-25 11:32
Ich bin seit über 10 Jahren im E-Commerce Tätig im Millionenbereic h. Dennoch ist mir das passiert mit einer Reise nach Schweden, über Whats app völlig abgezockt und die Nachrichten sahen täuschend echt aus. Die "Funnels" sind hochprofessione ll aufgebaut. Die größte Frage die ich mir stelle, woher kommen sie an die Daten? Es ist schon Seltsam das es nur bei Booking passiert.

Unterstützung oder Unternehmungen gab es 0 von Booking. Ein Schelm wer böses denkt, aber ist das Zufall?
Nie wieder Booking!
Zitieren
#2 Mario 2024-01-25 11:15
Noch ein Tipp:
Wir fahren am Wochenende nach Paris und hatten eine sehr schöne Unterkunft mit auffallend perfekten Bildern gefunden. Zum Glück war unser Filius vorsichtig und hat nach etwas Google-Recherch e eine Unterkunft in London gefunden mit exakt denselben Bildern... Also auch vorsicht vor allzu schönen Angeboten von auffallend neuen Booking.com-Teilnehmern!
Wir sind seit 15 Jahren bei Booking.com und haben schon zig Buchungen gemacht und reichlich Erfahrungen. Früher gab es nie Probleme, aber wir haben den Eindruck, dass die Betrüger jetzt auch Booking.com als Arbeitsfeld entdeckt haben, seit gefühlt ca. einem Jahr.
Zitieren
#1 Jörg Kuhn 2024-01-25 08:19
Nicht nur das, wir buchen über Booking.com Unterkünfte für Geschäftsreisen . Auch hier kam es bei uns, im Zeitraum vom 13.01.2024- 16.01.2024, bei erfolgter und bestätigter Buchung, regelmäßig zur Aufforderung die Kreditkarte noch einmal zu verifizieren. Die Aufforderungen ergingen täglich zwischen 19 und 20 Uhr. Das Hotel selbst erteilte die Auskunft das es wegen der Reservierung keine offenen Fragen gibt.

Der SMS Text lautet:

Wir benötigen eine zusätzliche Überprüfung Ihrer Karte. Um eine Stornierung zu vermeiden, bestätigen Sie bitte jetzt Ihre Kartenangaben: booking.com/...
Zitieren

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.