Der Sommer steht in den Startlöchern und die Menschen treibt es in den Urlaub bzw. auf die Buchungsplattformen. Für die Urlaubsbuchung wird dabei gerne auf die bekannte Plattform Booking.com zurückgegriffen. Deren Nutzer sind jedoch schon seit Längerem im Fokus von professionellen Betrügern, wobei sich die Betrugsmasche stetig ändert. Während die Ansprache über den offiziellen Booking-Kanal vielen Nutzern mittlerweile bekannt ist, melden sich die Betrüger nun direkt über WhatsApp und geben sich als Hotelpersonal aus (vgl. auch einen Bericht des SRF).
Um die Vorfreude auf den anstehenden Urlaub nicht trüben zu lassen, sollten Sie daher die nachfolgenden Hinweise und Tipps berücksichtigen, um nicht in die Phishing-Falle zu tappen.
So funktioniert der Betrug
Die Betrüger nutzen offenbar gestohlene oder geleakte Buchungsdaten, um gezielt Opfer anzusprechen. Die WhatsApp-Nachricht enthält meist:
- Den Namen der betroffenen Person,
- Angaben zur Unterkunft,
- das Buchungsdatum und
- auf Nachfrage einen Screenshot aus einem angeblichen Buchungssystem, der die Echtheit der Anfrage suggerieren soll.
Die Nachricht wird dabei von einem Unternehmensaccount gesendet, welcher Hotelbilder sowie Hotelinformationen enthält (Adresse, E-Mail-Adresse, Öffnungszeiten) und auf die vermeintliche Website verlinkt. Erst bei genauerem Hinsehen werden Sie feststellen, dass die E-Mail-Adresse Tippfehler enthält oder die verlinkte Website ins Leere führt.
Unter einem Vorwand – etwa einer „notwendigen Verifizierung der Kreditkarte zur Bestätigung der Buchung“ – wird das Opfer gedrängt, auf einen Link zu klicken, der zu einer professionell gestalteten, aber gefälschten Website führt. Dort sollen die Kreditkartendaten eingegeben werden; diese landen direkt bei den Betrügern.
In vielen Fällen setzen die Täter ihre Opfer unter Zeitdruck: Die Buchung könne „sonst nicht garantiert“ werden oder es drohe eine automatische (kostenpflichtige) Stornierung. Diese Taktik soll Panik auslösen und verhindern, dass das Opfer die Echtheit der Nachricht überprüft.
Wie erhalten die Betrüger Kenntnis über die Daten?
Die genauen Hintergründe dazu, wie die Betrüger an die Daten gelangen, sind nach aktuellem Kenntnisstand nicht geklärt. Möglich scheint sowohl ein Datenleck bei Booking.com als auch bei Partnerunterkünften oder den Nutzern selbst. Fest steht, dass die Betrüger Informationen zu Buchungsdetails haben, welche viele Nutzer zunächst einmal von der Echtheit der Nachricht überzeugen könnten. Die Verbraucherzentrale Niedersachsen warnt auf ihrer Website ebenfalls vor dieser Betrugsmasche per WhatsApp.
Tipps zum Schutz:
- Weder das gebuchte Hotel noch Booking.com wird seine Kunden über WhatsApp in Zahlungsangelegenheiten kontaktieren. Wenn dies der Fall ist, sollten Sie hellhörig werden und mit den Parteien in Kontakt treten.
- Klicken Sie nicht auf Links aus unbekannten oder verdächtigen Nachrichten.
- Nehmen Sie sich die Zeit, die Angaben im WhatsApp-Profil genau anzuschauen. Meistens werden Sie hier Rechtschreibfehler oder sog. „broken links“ finden.
- Geben Sie niemals Kreditkarteninformationen außerhalb der offiziellen Booking.com-Website oder App ein.
Im Zweifel gilt: Kontaktieren Sie direkt ihr Hotel oder den Kundenservice von Booking.com über die offiziellen Kanäle.
Empfehlung
Sollten Sie dennoch Opfer der Betrugsmasche geworden sein, treten Sie umgehend mit Ihrer Bank in Kontakt und erstatten Sie Strafanzeige.
Da der Internetbetrug auch in Form von Fake-Shops an „Popularität“ zunimmt und mittlerweile zur am häufigsten verbreiteten Betrugsmasche gehört, bietet die SCHUFA die Möglichkeit über den sog. IdentChecker zu prüfen, ob die eigenen Konto- oder Kreditkartendaten im Internet veröffentlicht wurden. Die Prüfung ist kostenlos und erfordert keine Registrierung.
5. Juni 2025 @ 16:25
Wie die Betrüger an die Daten kommen? Ganz einfach: Ein Hotel gehackt (zu schwaches Passwort oder Phishing). Mit dessen Zugang können die Betrüger sämtliche Buchungsdaten bei booking.com einsehen und missbrauchen.