Neue BetrugsmascheOnlinebetrug über Booking-Webseite – So können sich Reisende schützen
Über offizielle Kommunikationskanäle von Booking.com versuchen Cyberkriminelle, Hotelgästen Geld abzuknöpfen. Wie die Betrüger vorgehen und was Reisende beachten sollten.
Das Mail wirkt vertrauenswürdig: Es kommt vom offiziellen Kanal der Plattform Booking.com. Und es bezieht sich auf eine aktuelle Hotelbuchung – die Daten sind korrekt, und der Empfänger wird mit Vor- und Nachname angesprochen. Mit dem Mail fordert das Hotel Beat Müller (Name geändert) auf, seine Kreditkarte zu verifizieren. Da es kurz zuvor mit der Bezugslimite einer Bezahlkarte ein Problem gab, kann er die Aufforderung nachvollziehen.
Müller klickt den Link an und tappt in die Falle: Er bestätigt eine Überweisung von rund 305 Franken. Das Geld geht an einen Empfänger in Irland, wie später der Kontoauszug zeigt.
Wenig später wird klar, dass es um einen Betrug geht. Das Hotel teilt Müller mit, die Täterschaft habe Zugriff auf ihr Konto von Booking.com erhalten.
Er ist nicht der Einzige, der auf diese Betrugsmasche hereingefallen ist. Etliche weitere Fälle sind bekannt, auch in anderen Ländern. Die Buchungsplattform Booking.com teilt auf Anfrage mit, dass sie mit Hochdruck daran arbeite, die Probleme zu lösen.
Wie das Unternehmen erläutert, stecken professionell organisierte Organisationen dahinter. Diese infiltrieren mit «sehr überzeugenden Phishingmails» die Rechner von Hotels und Wohnungsbesitzern, die ihre Unterkünfte über Booking.com anbieten. Phishing ist ein Cyberangriff, bei dem Betrüger mit gefälschten Mails versuchen, an sensible Zugangsdaten zu kommen.
Den Tätern ist es gelungen, auf Computersystemen von Hotels Schadsoftware zu installieren. So erhalten die Cyberkriminellen in einigen Fällen Zugriff auf deren Booking.com-Konto. Wenn das gelingt, können sie aktuelle Daten nutzen und über die offiziellen Kommunikationskanäle von Booking.com ihre Hotelgäste direkt anschreiben. Die Gäste erhalten die Nachrichten über die App der Buchungsplattform, per E-Mail und in selteneren Fällen – wenn sie beim Hotel die Nummer des Mobilfunktelefons hinterlegt haben – eine Whatsapp-Nachricht oder ein SMS.
Nachdem er den Betrug festgestellt hat, kontaktiert Beat Müller Viseca, die Herausgeberin seiner Kreditkarte. Er findet zwar heraus, dass das Geld an eine Firma in Irland überwiesen worden ist. Doch Viseca lehnt eine Rückzahlung ab.
Wie Viseca gegenüber dieser Redaktion erläutert, können Kartenzahlungen nicht einfach rückgängig gemacht werden. Denn im Handel müssen sich Verkäufer darauf verlassen können, dass sie über das Geld verfügen können. Die Einleitung eines Verfahrens gegen Empfänger sei aufwendig und bei professionell organisierten Cyberkriminellen kaum je zielführend. Denn die Betrüger würden in der Regel von Ländern aus agieren, in denen sie nicht belangt werden könnten. Im vorliegenden Fall liessen sich die Hintermänner über die Adresse in Irland womöglich gar nicht identifizieren.
Müller hat sein Geld trotzdem zurückerhalten: Booking.com übernimmt den Schaden. Die Buchungsplattform betont aber, dass es den Angreifern nicht gelungen sei, das hauseigene System und die Infrastruktur zu hacken oder zu kompromittieren. Sie hätten einzig unbefugten Zugang zu Konten von Hotels erhalten. «Aus Kulanz und als Geste des guten Willens» übernimmt Booking.com aber den Schaden von Hotelgästen, «falls dies nicht über die Bank oder das Kreditkartenunternehmen möglich war».
Zur Zahl von betroffenen Hotels, Gästen oder Schadenssummen gibt Booking.com keine Auskunft. Das Unternehmen beschränkt sich auf folgenden Hinweis: Es gehe nur um «einen Bruchteil der Unterkünfte auf unserer Plattform». Denkbar ist, dass neben Booking.com weitere Buchungsplattformen mit diesem Problem konfrontiert sind – denn viele Hotels nutzen verschiedene Anbieter.
Zu den Massnahmen, die Booking.com bereits ergriffen hat, zählen eine schwarze und eine weisse Liste mit Links, die das Unternehmen fortlaufend aktualisiert. Das System blockiert verdächtige Links der schwarzen Liste, sodass sie gar nicht mehr in der Kommunikation von Booking.com erscheinen. Zudem werden «maschinelle Lernfunktionen» eingesetzt, um verdächtige Fälle zu identifizieren.
Bei einem anderen Leser haben Sicherheitsvorkehrungen einen Schaden verhindert. Kurz vor der Abreise wollte er nicht riskieren, dass er an der Reisedestination kein Hotelzimmer mehr hat. Er löste auf Aufforderung von Cyberkriminellen eine Zahlung aus. Doch seine Bank erkannte das verdächtige Konto und blockierte die Transaktion.
Fehler gefunden?Jetzt melden.
