Betrug auf Booking.com: Messenger-Nachricht als Geldfalle

Zunächst funktionierte die Hotelbuchung auf Booking.com, dem größten Hotelportal weltweit, für Torsten W. reibungslos. Auf dem Portal kann man allerdings nicht nur buchen, sondern nach dem Log-in auch einen Messenger nutzen - zur Kommunikation zwischen Hotels und Kunden. Torsten W. erhielt eine Information, die nur scheinbar von Booking.com stammte: Er sollte sich einloggen und eine neue Nachricht im Messenger lesen. Dort stand: "Wir bitten Sie, Ihre Karte zu verifizieren. Das muss innerhalb von 12 Stunden erfolgen. Sonst wird Ihre Buchung storniert." Und: "Es wird kein Geld von der Karte abgebucht, nur als Bestätigung, nach der es automatisch nach zwei bis drei Minuten auf Ihr Konto gutgeschrieben wird."

Torsten W. hatte tatsächlich gerade eine neue Kreditkarte bekommen - so schöpfte er keinen Verdacht. Er folgte dem Link in der Nachricht und gab seine Kartendaten ein, im Glauben, dass der Absender wirklich sein Hotel sei und seine Karte nur vorbelastet würde. Tatsächlich erfolgte aber eine Abbuchung von über 990,99 Euro von seinem Konto. Das Geld wurde nicht zurücküberwiesen.

Beim Hotelverband Deutschland (IHA) sind die Betrugs-Vorfälle bekannt. Gerade bei Buchungen über Booking.com würden seit einiger Zeit vermehrt solche Betrügereien auftreten. Auch das Online-Reisebüro Expedia sei betroffen. Dabei sollen die Betrüger angeblich Schwachstellen in den gebuchten Hotels ausnutzen.

Markus Luthe vom Hotelverband IHA erläutert: "Offensichtlich werden Hotelsysteme gehackt. Das sei der Ausgangspunkt, sagt Booking. Dann hat man die Zugangsdaten zu dem Booking-System, sodass dann betrügerische Mails aus dem System von Booking kommen." Bei Booking.com gibt es eine Besonderheit: Jedes buchbare Hotel besitzt dort einen eigenen Booking-Account. Darin verwaltet das Hotel die Kontaktdaten und Buchungen der Gäste. Und über einen Booking.com-Messenger dieses Booking-Accounts kommuniziert das Hotel mit seinen Gästen.

Booking.com erklärt, dass Booking.com selbst nicht gehackt worden sei. Das Hotelportal ergänzt: "Einige unserer Unterkunftspartner waren leider von sehr überzeugenden Phishing-E-Mails betroffen, die von professionellen Cyber-Kriminellen […] verschickt wurden." Man würde die Partner bei der Sicherung der Systeme unterstützen.

Sicherheitsexperte Jan-Tilo Kirchhoff vermutet hinter der Betrugsmasche menschliche Fehler beim Hotelpersonal. Die Rechner an der Hotelrezeption seien meistens relativ schlecht geschützt, sodass Hacker das Personal mit Phishing-Attacken hereinlegen könnten. Er empfiehlt: Kunden, die Nachrichten bekommen, in denen es um Kreditkartendaten geht, sollten sich beim Hotel rückversichern, ob die Nachricht echt war.

Für alle, die auf die Betrugsmasche schon hereingefallen sind, gibt es folgende Tipps:

• Die Nachrichten der Betrüger als Beweis speichern.
• Anzeige bei der Polizei erstatten.
• Das Buchungsportal informieren.
• Gegebenenfalls einen Anwalt einschalten.

Torsten W. hatte am Ende Glück: Als Booking.com von der Recherche der ZDF-Sendung WISO erfuhr, ersetzte ihm das Buchungsportal den Verlust sechs Monate nach dem Betrug.