„Ich bin ein Reiseexperte, aber der Gastgeberbetrug von Booking.com hätte mich fast erwischt.“

Als mein Daumen über dem Link schwebte, sagte der Rogue Traders- Forscher der BBC, der hilfsbereit neben mir saß: „Ich bin ziemlich sicher, dass das ein Betrug ist. Blockieren Sie die Nummer und klicken Sie nicht auf den Link.“

Ich folgte dem Rat und war erleichtert, einer Kugel ausgewichen zu sein. Doch dann kam ein Hauch von Verlegenheit, weil ich beinahe auf einen Reisebetrug hereingefallen wäre. Das wäre angesichts meiner Berufsbezeichnung und der Tatsache, dass ich mich auf einer Reiseveranstaltung inmitten von Kollegen befand, als die Nachricht eintraf, ein schlechtes Bild gewesen.

Zu meiner Verteidigung muss ich sagen, dass es ziemlich überzeugend war. Die WhatsApp-Nachricht mit Namen und Foto kam direkt nach einigem Hin und Her mit dem Gastgeber auf Booking.com. Der „Guest Relations Manager“ erwähnte, wohin und wann ich reisen würde und wann ich die Reservierung vorgenommen hatte. Alles sei in Ordnung mit der Buchung, versicherten sie mir, solange ich bestätigen könne, dass meine Kartendaten nicht gestohlen worden seien – etwas, das ihnen das Booking.com-System als Möglichkeit angezeigt hatte.

Sind Sie Opfer eines Reisebetrugs geworden? Wir freuen uns über Ihre Nachricht. E-Mail: [email protected]

Ein kurzer Klick auf den Link zur Bestätigung meiner Angaben und schon könnte ich wie geplant in den Urlaub starten, kein Problem, versprachen sie.

Ich machte einen Screenshot der Nachrichten und blockierte das Konto. Den Vorgang wiederholte ich für die „Hauptverwalterin der Wohnungen“, die sich später im Namen ihrer Kollegin darum kümmerte.

In diesem Fall konnte ein Betrug abgewendet werden, aber es blieben viele Fragen offen. Wie waren sie an meine Daten gekommen? Wie viel hätten sie gestohlen, wenn ich auf den Link geklickt hätte? Wie viele andere werden auf diese Weise ins Visier genommen?

Die Antwort auf die erste Frage kam einige Tage, nachdem ich Booking.com den Vorfall erklärt hatte. Ein Kundendienstmitarbeiter entschuldigte sich und machte den Anbieter für die Sicherheitslücke verantwortlich. Er meinte, die eigene Website sei mit Malware infiziert gewesen, wodurch die Hacker Zugriff auf meine Daten gehabt hätten.

Dies ist ein Problem für Websites wie Booking.com, die Kunden auf Websites von Drittanbietern weiterleiten. Diese werden oft von B&B-Besitzern oder Vermietern von Ferienwohnungen mit nur einer Immobilie betrieben, die wahrscheinlich nicht über die gleichen Sicherheitsressourcen verfügen wie ein großes Reiseunternehmen.

Die Sicherheitsprobleme werden möglicherweise noch dadurch verstärkt, dass die Einrichtung einer Booking.com-Hostseite weniger als 15 Minuten dauert und kein Reisepass oder amtlicher Ausweis vorgelegt werden muss.

Was die zweite und dritte Frage betrifft, sind die gestohlenen Beträge und die Zahl der Opfer erheblich. Der Betrug brodelt seit Jahren. Die britische Betrugsbehörde Action Fraud hat 532 Meldungen von Einzelpersonen erhalten, die zwischen Juni 2023 und September 2024 einen Gesamtverlust von 370.000 Pfund bezifferten.

Zusammen haben sie mehr als 370.000 Pfund aus eigener Tasche verloren. Möglicherweise wurden sie auch Opfer einer Verletzung ihrer Datenschutzrechte. Vor einigen Jahren wurde Booking.com mit einer Geldstrafe von 475.000 Euro belegt, weil das Unternehmen nach einem Verstoß gegen die DSGVO keine Maßnahmen ergriffen hatte.

Das Problem scheint sich sogar noch zu verschärfen. Im vergangenen Juni räumte Booking.com ein, dass die Zahl der Betrugsfälle auf der Plattform in den vergangenen 18 Monaten um 500 bis 900 Prozent gestiegen sei.

Im Jahr 2023 erzählte Dr. Leigh Jones, eine Wissenschaftlerin der Universität Oxford , dem Mirror , wie sie durch Betrüger mehr als 1.000 Pfund verloren habe, nachdem sie vor ihrem Hochzeitstag in Vietnam mehrere Hotelzimmer für ihre Familie gebucht hatte.

„Das war ein wirklich beeindruckender Phishing-Betrug. Danach werde ich mit Booking.com Schluss machen. Warum gibt es auf ihrer Website keine Warnung? Ich würde den Leuten raten, auf eine andere Möglichkeit zur Urlaubsbuchung umzusteigen“, sagte sie damals dem Mirror.

Anfang des Jahres stellte Which? fest, dass einige Kunden von Booking.com über die offizielle App des Unternehmens von Betrügern kontaktiert worden waren, wodurch es viel schwieriger wurde, diese Nachricht von einer echten Nachricht eines Gastgebers zu unterscheiden.

Nicht nur geht den Kunden Geld verloren, auch den Beherbergungsbetrieben bereiten die Betrüger große Kopfschmerzen.

Balaram Thapa betreibt ein Hotel in Kathmandu, Nepal. Kürzlich fiel einer seiner Kunden einem Phishing-Betrug zum Opfer.

„Einer unserer Gäste buchte über Booking.com ein Zimmer in unserem Hotel, erhielt eine Bestätigung und später eine scheinbar von uns stammende Nachricht mit der Aufforderung, die Zahlung über einen Drittanbieter-Link erneut zu bestätigen. Die Nachricht sah völlig legitim aus und enthielt den Namen unseres Hotels sowie die Reservierungsdetails“, erklärte der Hotelier.

Der Gast bezahlte über den gefälschten Link und bemerkte erst bei seiner Ankunft, dass es sich um einen Betrug handelte.

Es war eine frustrierende Situation für den Gast und unser Team. Sie haben nicht nur Geld verloren, sondern auch ihr Vertrauen in den Buchungsprozess – und in uns – wurde beschädigt, obwohl wir nichts mit dem Betrug zu tun hatten. Mir ist klar geworden, dass Reisende bei Nachrichten, die sie erhalten, besonders vorsichtig sein müssen, selbst wenn sie scheinbar von offiziellen Buchungsplattformen stammen.

Balaram kontaktierte Booking.com und erfuhr, dass das Hotelkonto möglicherweise kompromittiert worden war. Man riet ihm, das Passwort zu ändern. „Sie boten weder weitere Hilfe noch Entschädigung an“, fügte der Hotelmanager hinzu. Um dem verzweifelten Kunden zu helfen, bot Balaram ihm 50 % Rabatt auf den Aufenthalt an. „Es war ein Verlust für beide Seiten, aber wir haben unser Bestes getan, um es wiedergutzumachen“, sagte er.

Sean Malloy ist ein amerikanischer Anwalt, der Opfer von Phishing-Betrug vor Gericht vertreten hat und denjenigen, die Angst haben, erwischt zu werden, einige Ratschläge gibt.

„Ich habe mit zahlreichen Fällen von Phishing-Betrug zu tun gehabt, die zu finanziellen oder emotionalen Verlusten geführt haben. Wenn Plattformen wie Booking.com nachgeahmt werden, sind Verbraucher oft überrascht, insbesondere weil die Kommunikation so legitim erscheinen kann“, sagte er dem Mirror.

Um sich zu schützen, sollten Reisende NIEMALS auf Zahlungslinks in E-Mails oder SMS klicken und Buchungen und Anfragen immer über die App oder Website selbst überprüfen. Aktivieren Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung und überprüfen Sie Ihre Konten regelmäßig auf Hinweise auf Hackerangriffe.

Ein Sprecher von Booking.com erklärte gegenüber dem Mirror: „Wir können zwar bestätigen, dass die Systeme von Booking.com nicht gehackt wurden, sind uns jedoch bewusst, dass einige unserer Unterkunftspartner und Kunden Opfer von Phishing-Angriffen professioneller Krimineller geworden sind. Online-Betrug ist leider ein Problem, mit dem viele Branchen konfrontiert sind, und bei Booking.com haben wir uns verpflichtet, dieses Problem direkt anzugehen.“

Wir verfügen über eine Reihe robuster Sicherheitsmaßnahmen und investieren kontinuierlich in fortschrittliche Technologien, darunter KI und maschinelles Lernen, um die überwiegende Mehrheit der Bedrohungen zu erkennen und zu blockieren, bevor sie Auswirkungen haben können. Sobald ein Anliegen geäußert wird, untersuchen unsere Sicherheitsteams den Vorfall sofort und arbeiten mit Partnern zusammen, um deren Konten so schnell wie möglich zu sichern.

Der Sprecher riet Kunden, die sich über Zahlungsnachrichten Sorgen machen, die Zahlungsrichtlinien in ihrer Buchungsbestätigung sorgfältig zu prüfen, um sicherzustellen, dass die Nachricht legitim ist. Im Zweifelsfall wenden Sie sich am besten an unseren Kundenservice oder klicken Sie in der Chat-Funktion auf „Problem melden“. Wichtig ist, dass wir Kunden niemals bitten würden, Zahlungsinformationen per E-Mail, Chat, SMS oder Telefon preiszugeben. Bei Fragen zu Kreditkartenzahlungen wenden Sie sich bitte an Ihre Bank.

Wie viele Unternehmen im E-Commerce-Bereich können auch wir und unsere Partner attraktive Ziele für Cyberkriminelle sein. Dank unserer umfassenden Maßnahmen, unserer globalen Reichweite und der Millionen von Buchungen, die wir wöchentlich abwickeln, sind tatsächliche Vorfälle jedoch selten. Wir investieren kontinuierlich in fortschrittliche Technologien, darunter KI und maschinelles Lernen, um die meisten Bedrohungen zu erkennen und zu blockieren, bevor sie Auswirkungen haben. Im Falle einer bestätigten Übernahme eines Partnerkontos informieren wir die Gäste per E-Mail und warnen sie vor dem möglichen Erhalt von Phishing-Nachrichten.

Wir nehmen den Prozess der Überprüfung von Unterkunftsangeboten sehr ernst. Partner können sich zwar in weniger als 15 Minuten registrieren, werden dann aber während der Anmeldung, nach der Übermittlung und bevor ihre Angebote buchbar werden, zahlreichen Kontrollen und Prüfungen unterzogen.