Betrugsversuche bei Booking.com: Wie Urlauber:innen sich vor Phishing schützen

Immer häufiger kommt es bei der Buchung von Ferienunterkünften zum Datendiebstahl und im schlimmsten Fall zum Kreditkartenbetrug. Wer über eine Buchungsplattform wie Booking.com eine Unterkunft bucht, sollte deshalb unbedingt sicherstellen, dass die Bezahlung ausschließlich über die Plattform abgewickelt wird und alle Kommunikation direkt darüber erfolgt, um Betrugsversuche zu vermeiden. Doch was tun, wenn die Nachricht zunächst legitim aussieht und sogar über die offizielle Plattform kommt – dabei jedoch Kriminelle hinter der Anfrage stecken?

Zahlungsaufforderung mit echten Daten, aber falschem Absender

Immer wieder berichten Verbraucherinnen und Verbraucher der Verbraucherzentrale von Betrugsversuchen, bei denen die Nachrichten zunächst vertrauenswürdig wirken.

Zum Beispiel: Florian H. erhielt nach der Buchung eine Nachricht über das Booking.com-Nachrichtenportal, in der er aufgefordert wurde, seine Zahlungsdaten zu verifizieren. Parallel dazu bekam er eine WhatsApp-Nachricht, die nicht nur den echten Namen des Hotels, sondern auch den Buchungszeitraum und die Buchungsnummer enthielt. Es wurde sogar eine Aktualisierung der Buchungsregeln erwähnt, die eine zusätzliche Kreditkartengarantie verlangte. Ein Link führte ihn dann auf eine Seite, die der echten Booking.com-Website sehr ähnlich sah, doch der entscheidende Unterschied lag in der Webadresse, die nicht stimmte. Glücklicherweise bemerkte Florian H. den Unterschied und gab keine Daten ein. Wäre er darauf hereingefallen, hätten die Betrügerinnen und Betrüger seine Kreditkartendaten abgefangen und missbrauchen können.

Die Betrugsversuche können sowohl kurz nach der Buchung als auch erst Wochen später auftauchen. Bei einigen Betroffenen kamen die falschen Nachrichten unmittelbar nach der Buchung, bei anderen war ein größerer Abstand zwischen Buchung und Betrugsversuch.

Nicht nur bei Booking.com, sondern auch auf anderen Plattformen kommt es immer wieder zu ähnlichen Maschen. Ein Beispiel aus Januar 2024 zeigt, wie eine Betroffene von einem angeblichen Vermieter auf Airbnb gebeten wurde, ihre Buchung über Booking.com abzuwickeln – allerdings mit einer E-Mail, die auf eine gefälschte Seite führte. Diese sah zwar ähnlich aus wie Booking.com, hatte aber eine völlig andere Webadresse, die zum Glück den Betrug verriet.

Wie gelangen die Betrüger:innen ins System?

Die Frage, wie Kriminelle an die Daten kommen, ist nicht ganz einfach zu beantworten. Booking.com bestreitet, dass es eine Sicherheitslücke in seinen Systemen gibt. Stattdessen geben sie an, dass Phishing-Angriffe dazu führten, dass Mitarbeitende von Unterkünften auf betrügerische Links klicken würden und so  den Zugriff auf ihre Accounts ermöglichen. Die Betrügerinnen und Betrüger gaben sich dann als Unterkunftsanbietende aus und forderten Zahlungen, die nicht in der Buchungsbestätigung enthalten waren.

So schützen sich Urlauber:innen vor Betrugsversuchen

Um auf der sicheren Seite zu bleiben, sollte man die Zahlungsmöglichkeiten innerhalb der Plattform nutzen und nur dann auf einer anderen Seite bezahlen, wenn dies ausdrücklich und sicher kommuniziert wird. Falls nach der Buchung eine Nachricht mit einem Problem bei der Zahlung eingeht, sollte sofort der Kundenservice der Buchungsplattform kontaktiert oder das Hotel direkt angerufen werden. Booking.com betont, „dass in der Regel bei keiner legitimen Transaktion von einem Kunden verlangt wird, sensible Informationen wie Kreditkartendaten per E-Mail, Chat-Nachricht, SMS, WhatsApp oder Telefon anzugeben“.

Falls bereits Kreditkartendaten auf einer fremden Seite eingegeben wurden, sollten die Betroffenen umgehend ihre Bank kontaktieren und versuchen, abgebuchtes Geld zurückzuholen. Ihre Kreditkarte sollten Sie schnellstmöglich sperren lassen. Außerdem ist es ratsam, den Vorfall der Polizei zu melden, um weitere Schritte einzuleiten.