Darum gehts
- Booking.com-Nutzerin von Betrügern kontaktiert, Plattform weist Sicherheitsprobleme zurück
- Kriminelle greifen auf Hotelpartner-Konten zu und kommunizieren mit Gästen
- Betroffene Nutzerin erhielt mehrere Dutzend betrügerische Nachrichten von drei Hotels
Die Winterthurerin Claudia H.* wollte nur schöne Frühsommerferien in Island verbringen. Doch die Vorfreude der Blick-Leserin ist verflogen: Sie wird seit der Buchung ihrer Hotelunterkünfte über die Plattform Booking mit Phishing-Versuchen eingedeckt – per Whatsapp, E-Mail und SMS!
«Meine Booking-Buchung raubt mir den letzten Nerv», klagt H. Denn schon wenige Tage nachdem sie ihre sechs Ferienhotels gebucht hat, gehen die Probleme los. Das Hotel Eyja Guldsmeden in Reykjavik meldet sich über die Chatfunktion der Booking-App bei ihr. Verlangt eine sofortige Bestätigung der Reservierung mitsamt Vorauszahlung, ansonsten verfalle die Buchung.
Betrugsversuche auf allen Kanälen
H. wittert den Betrugsversuch und reagiert nicht, «weil alles schnell gehen sollte und das Geld eh erst nach dem Aufenthalt fällig ist». Anderntags erhält sie erneut eine Chat-Nachricht des Hotels. Dieses Mal sind es die echten Hotelbetreiber. Sie raten ihr, nicht auf die vorherige Mail zu reagieren: Es handle sich um einen Betrugsversuch, um an Kreditkartendaten zu gelangen. Das Hotel spricht von einem «weltweiten Problem».
Trotzdem kommt es zu weiteren Betrugsversuchen, in weniger dringlichem Ton. Kurz darauf kontaktieren Betrüger die Mediengestalterin auch im Namen von Hotels in den isländischen Orten Keflavik und Akureyri. Mal per E-Mail, dann wieder über die Chatfunktion.
«Insgesamt wurde ich mehrere Dutzend Mal angeschrieben, von Betrügern sowie von den Hotels selber, die mich warnen wollten», sagt die Leserin. Sie fragt sich, wie drei von sechs Hotels ihrer Island-Ferienbuchung an ihre Mail- und Handydaten kamen. Sie ortet den Ursprung der Betrugsversuche bei der Buchungsplattform: «Booking scheint ein Sicherheitsproblem zu haben.»
Die Hotels sind auf Phishing reingefallen
«Es gibt kein Datenleck und wir wurden nicht gehackt», reagiert Booking-Sprecherin Nastja Hansen auf die Blick-Anfrage. Sie führt die Probleme auf kompromittierte Konten von Hotelpartnern zurück. «Dies hat in einigen Fällen zu einem unbefugten Zugriff von Kriminellen auf das Booking.com-Konto der Unterkünfte geführt.» Damit konnten sich diese als Hotel ausgeben und mit Gästen kommunizieren.
Die Telefonnummer von Gästen liege Unterkunftspartnern vor, damit sie Gäste kontaktieren können. Bei der Kommunikation via E-Mail gebe es zwei Szenarien. Kunden erhalten in der App geschriebene Chatnachrichten der Unterkunft auch per E-Mail. Die Mailadresse des Kunden liegt dem Hotel aber nicht vor. Für die direkte Kommunikation mit Gästen gebe es neben dem internen Chatsystem auch ein E-Mail-Alias, das Partner erhalten. «Sollten sich Cyberkriminelle Zugang zum Computersystem eines Hotels verschafft haben, können sie einen Gast über ein E-Mail-Alias kontaktieren», erklärt Hansen. Auch in diesem Fall sehen sie die persönliche E-Mail-Adresse nicht.
Immer schön vorsichtig bleiben
Allerdings reicht das, um Betrugsversuche durchzuführen. Blick-Leserin H. staunt, dass Booking nicht besser vor Betrugsversuchen geschützt ist. «Die Plattform ist geradezu ein Einfallstor für kriminelle Aktivitäten», sagt sie.
Die Vorfälle seien angesichts der enormen Anzahl Transaktionen bei Booking «selten», kontert Hansen. Ihr Unternehmen investiere massiv, um dem wachsenden Problem des Online-Betrugs Herr zu werden. Dazu gehören Erkennungssysteme, die sich mittels KI ständig verbessern, um Betrugstaktiken einen Schritt voraus zu sein.
Inzwischen erscheint bei Kommunikationen im Booking-Chat automatisch ein Pop-up-Fenster, das vor verdächtigen Aktivitäten warnt. «Wenn Sie Links oder Nachrichten sehen, die ungewöhnlich aussehen, klicken Sie bitte nicht darauf und antworten Sie nicht darauf», steht dort.
* Name geändert