Weiterhin Betrugsversuche bei Buchungen über Booking.com
von caschy | 22 Kommentare
Gewarnt wird seit vielen Monaten, auch von Verbraucherzentralen, doch das Thema ist weiterhin aktuell, wie man an einem aktuellen Fall sehen kann. Kunden bekommen nach einer Buchung einer Unterkunft über Booking.com eine Nachricht, dass die Zahlungsdaten noch mal angegeben werden müssen. Die Nachrichten erreichen den Kunden über mehrere Kanäle, beispielsweise WhatsApp oder E-Mail. Teilweise sollen wohl auch Messaging-Systeme von Booking genutzt worden sein.
Auffällig dabei ist, dass es bei WhatsApp nicht das Hotel sein muss, während bei diesen Betrugsfällen aber unter Umständen auch die Mail-Adresse des Hotels hinterlegt sein kann. Die Inhalte der Betrüger könnten sicherlich Menschen veranlassen, ihre Daten in vermeintliche Buchungssysteme einzugeben – denn die Buchungsdaten (Hotel, Datum, etc.) stimmen (obwohl vieles schon nach BETRUG! schreit):
Fake-Seite
Da fragt man sich natürlich, woher diese Daten stammen. Booking.com hat schon vor Monaten dementiert, dass es eine Schwachstelle gibt, da habe es keinen erfolgreichen Angriff gegeben. Vielmehr ist es so, dass wohl die Hotels selbst für den Schlamassel verantwortlich sind. Durch Phishing oder wie auch immer bekommen die Betrüger Zugriff auf die Hoteldaten, die diese nutzen, um sich in den Business-Konten bei Booking.com einzuloggen. Dort werden dann Kundendaten abgesaugt und der künftige Hotelgast angeschrieben. Von daher: Aufgepasst, wenn euch so etwas erreicht. Bei Unsicherheiten lieber noch einmal im Hotel anrufen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Wobei man auch aufpassen muss, dass die Kontaktdaten bei Booking.com auch komprimittiert sein könnten. Mich erreichte auch mal so eine Betrugsnachricht und die Betrüger hatten ganze Arbeit geleistet und auch gleich noch die Domain des Hotels mit übernommen, aber auf der Webseite dann so schlampig gearbeitet, dass es schon sehr offensichtlich wurde.
Das selbe gibt’s auch bei Expedia (Expedia/Hotels.com). Betrüger kommen an Zugangsdaten des Hotels für die Expedia Plattform und schreiben dann Kunden über das interne Nachrichtenportal mit einer ähnlichen Nachricht wie oben an.
Besser wäre es, wenn Hotels nur mehr mit einem USB Token drauf zugreifen können, aber das kann man nicht jedem Unterkunftsgeber zumuten.
Meine Erfahrung ist noch viel besser. Nach bekanntwerden dieser Betrugsmasche bekam ich letzten Monat eine sehr ähnliche Nachricht von meinem Hotel über das System von Booking. Ich musste meine Reservierung plötzlich nochmal über deren eigenen Link bestätigen und bezahlen. Auf meine Nachfrage ob es sich um einen Betrugsversuch handelt, habe ich bis heute von Booking keine Antwort bekommen (bis auf die erste Nachfrage, dass ich die Reservierungsnummer, etc. zur Überprüfung mitsenden soll). Als ich ich die Bestätigung/Zahlung über die andere Seite nicht ausgeführt habe, wurde meine Hotelreservierung storniert. Nach Neureservierung erhielt ich nach wenigen Tagen die selbe Nachricht. Daraufhin habe ich die Zahlung dann über deren Seite vorgenommen (per Paypal mit Absicherung, meine KK-Daten wollte und hätte ich nicht angegeben). Und es war im Nachhinein tatsächlich das korrekte vorgehen. Wieso ist das Hotel nicht in der Lage über Booking abzurechnen und warum erhält man auf Nachfrage von Booking keine Auskunft dazu?
Ich habe einen ähnlichen Fall erlebt (siehe unten) und auch bei mir war der Support grauenhaft. Erreicht habe ich erst jemanden bei booking.com, als ich dort angerufen habe. E-Mails blieben bis heute unbeantwortet. Und die Fachkenntnis, sowie die Handlungsmöglichkeiten der Supportperson waren sehr schlecht. Ich habe letztlich direkt mit dem Hotel eine Lösung gefunden und mich danach gefragt, wofür ich genau booking.com benötige.
Die bei Booking.com können ja auch nichts tun, außer die Plattform bereitzustellen und dafür 15 % zu kassieren. Die rufen dann im Hotel an und betteln, vor allem bei „nicht stornierbarer Buchung“ zum dafür reduzierten Preis sehr nervig gewesen.
Das erging mir ebenso! Das ganze stank so zum Himmel – aber der Support von Booking.com war damit völlig überfordert. Das Ganze ist jetzt bei mir und meiner Freundin schon 4 x in diesem Sommer passiert. Ich befürchte, so gut wie es tw. gemacht ist, dass da schon viele reingefallen sind.
Spannend. Genau mit dem Hotel aus dem Screenshot hatte ich auch das „Problem“. Angeblich müsste ich meine Zahlungsdaten neu hinterlegen, sonst wird das Zimmer storniert. Habe im Hotel angerufen, die das verneint haben. War auch Phishing, was aber mit offiziell aussehenden Emails und URLs erstellt war.
Deshalb buche ich Unterkünfte immer direkt und nicht über Zwischenhändler.
Ob ich tatsächlich auf der Seite von Hotel XYZ bin oder auf einer Seite, die das nur vorgibt, lässt sich leicht überprüfen.
Aus diesem Grund sind auch URL Verkürzungen sinnfrei, weil sie einfach nur die URL verschleiern.
Das geht vielleicht bei Hotels aber bei Apartments und Häusern ist das schwieriger.
Lieber Frank. Die Betrüger haben eventuell sogar die Bankdaten auf der offiziellen Seite verändert. Wie gesagt, wenn die Zugang zu dem ganzen Benutzerdaten haben, ist es wahrscheinlich, dass die sogar Zugang zu weiteren Daten haben. Die können auch die Telefonnummer ändern, so dass du bei dem Betrüger anrufst und er dir das am telefon bestätigt. Es geht gar nicht so um die Vermittler.
„Deshalb buche ich Unterkünfte immer direkt und nicht über Zwischenhändler.“
Sollte man, um den Zwischenhändlern das Monopol und die unverdiente Provision zu nehmen.
Das Problem mit dem Phishing liegt aber in den Hotels, deine Daten können auch für andere Experimente missbraucht werden. Dagegen gibt es keinen Schutz, außer, nicht zu buchen.
„Ob ich tatsächlich auf der Seite von Hotel XYZ bin oder auf einer Seite, die das nur vorgibt, lässt sich leicht überprüfen.“
Ist das so? Booking.com ist das wonach es aussieht, aber ist hotelregina.hr auch das echte oder vielleicht hotel-regina.hr oder hotel-croatia.com?
Vor 4 Wochen in Frankreich eine Übernachtung über Booking gebucht. Da kamen dann auch etliche Phishing Mails, wie beschrieben über die Messaging Platform von Booking.
Sowohl das Hotel, als auch Booking haben sich ‚dumm‘ gestellt. Hätten damit nichts zu tun….so war das dann für beide erledigt.
Ehrlich gesagt hatte ich einen ähnlichen Fall bei booking.com vor ein paar Monaten. Nach einer Buchung wollte das Hotel meine KK-Daten noch einmal übermittelt bekommen. Das lag daran, dass das Hotel für eine erfolgreiche Belastung die CVC-Nummer benötigte, booking.com diese jedoch nicht übermittelt. Und das auch, obwohl die Zahlung im Hotel gewählt wurde. Das habe ich booking.com damals gemeldet. Hoffentlich wurde das mittlerweile behoben. Wie dem auch sei. Es gibt jedenfalls ähnlich gelagerte Fälle, bei denen es sich um legitime Anfragen handelt. Der Tipp ist aber gut, sich an das Hotel zu wenden, bevor man irgendetwas unternimmt. Sicher ist sicher.
„Vielmehr ist es so, dass wohl die Hotels selbst für den Schlamassel verantwortlich sind.“
Die Informationen stammen sicherlich von Hotelcomputern: Selbst in „großen“ Ketten sind das Windowsrechner mit oft mangelhafter Absicherung (Adminrechte, Virenschutz), nicht verhinderte Privatnutzung inklusive, Kennwörter nie geändert und verbreitet unter sämtlichen aktuellen und ehemaligen Mitarbeitern und Aushilfen. Dazu bei den E-Mails (und USB-Sticks) jede Menge Ausdruckwünsche der Hotelgäste, da kann alles mögliche bei sein (> mangelhafter Virenschutz), und Ablehnen geht wegen folgender schlechter Hotelbewertung nicht.
Ich rede hier nur von Deutschland, im Ausland (Südeuropa, Lateinamerika, Asien) alles sicherlich nicht besser.
In Einzelhotels loggt man sich i. d. R. manuell in z. B. Booking.com ein und blockt bzw. bucht den Betrag von Kreditkarte ab, sofern nicht zentral über Booking.com geschehen.
Die Phisher schreiben „We do not have your information in our system“ – aber Daten zum Kontaktaufnehmen haben sie immerhin.
P.S.: Witzig, dass der Gast in eurem Screenshot denselben Namen wie einer eurer Redakteure hat. 🙂
Wurde vor wenigen Jahren von meiner Firma für Kundenbesuch in ein etwas älteres Hotel gesteckt in Spanien. Also es hatte 4 Sterne, aber sah von außen schon bisschen abgewaschen aus.
In der Lobby lachte mich dann der Rezeptionscomputer an mit einem exklusiven Windows 7 Bildschirmschoner. W7 in den 2020ern.
Heute hat jemand vom „Amazon-Support“ angerufen, dass eine Amazon-Bestellung aus London eingegangen ist. Anhand der IP-Adresse konnte festgestellt werden, dass das ungewöhnlich ist. Er wollte wissen ob das ich gewesen sein könnte. Das verneinte ich, dann ob ich jemanden aus London kenne usw. Ganz unaufdringlich und scheinbar professionell. Er wollte zur Sicherheit, dass ich einen „Amazon-Link“ anklicke um das Abzuklären. Ich sagte ihm, dass das nicht geht weil ich in der Arbeit bin. Er meinte, dass es eh nicht gut sei wenn es über die Arbeit gemacht wird wegen der Firmen-Policy meines Arbeitgebers. Ich habe ihn auf später vertröstet und aufgelegt. Der Link entpuppte sich als Remote-Steuerung. Er wollte natürlich auf meinem Privat-PC weitermachen um die Kontrolle zu erlangen und dann aufzulegen mit meinen Accounts und Daten. Das ist ihm nicht gelungen, es war aber schon sehr professionell gemacht. Nicht mehr so auf Nigeria-Prinz. Die Betrüger-Farmen der Mafia wo irgendwo in Schwellenländern 100e Leute sitzen und nur Betrüger-Anrufe machen werden auch immer professioneller. Wenn nur jeder 50ste drauf reinfällt ist es ein risen Geschäft.
Ich gebe zu, wir nutzen booking regelmäßig und bisher ohne Probleme oder Phishingversuch.
Das mit dem Direktbuchen ist ja super, wenn ich Ort und Hotel kenne. Ansonsten bieten diese Suchmaschinen Filter, ohne die die Suche oft sehr mühsam ist. Zum Beispiel 3er Zimmer (die Kinder) oder Parkplatz. Dafür und um nicht bei jedem Hotel einen eigenen Account haben zu müssen, bin ich bereit, die Provisionsgebühr zu bezahlen. Zumal ich es schon oft erlebt habe, dass die Zimmer bei Direktbuchung nicht günstiger sind.
Gibt es eigentlich gute Alternativen mit internationalem Angebot, damit Booking als Platzhirsch nicht zu viel Macht bekommt?
Agando und Expedia fand ich nicht überzeugend.
Ich mache mir das ganze recht einfach und suche über Booking, ziehe mir dann die Webseite des Hotels heraus und wenn das Hotel denselben oder einen niedrigeren Preis anbietet, buche ich über das Hotel, sonst über Booking.
Bei zwei kleinen Hotels/Zimmern habe ich beste Erfahrungen gemacht, direkt anzurufen. Die haben mir dann gedankt, ca. 10% Booking-Provision vom Preis abgezogen und ein Frühstück dazu geschenkt.
Auf der anderen Seite hatte ich auch eine Kette, die mir sagte „Wenns über Booking billiger is, dann buchen’s halt dort. Wir könnens nicht billiger machen.“ Gibt also alles.
> Gibt es eigentlich gute Alternativen mit internationalem Angebot, damit Booking als Platzhirsch
> nicht zu viel Macht bekommt?
dort maximal suchen und dann direkt im Hotel buchen.
Leider sind manche Hotels echt stur, was deren Buchungswege angeht, die gehen nichtmal bei booking-Konditionen mit, obwohl sie am Ende mehr bekommen würden… Oder gehen garnicht auf Konditionen ein 🙁
Kenne ich auch. Bei mir war auch das Hotel selbst schuld und nicht Booking. Der Booking Account des Hotels wurde übernommen und damit wurden dann die Nachrichten direkt über Booking im Namen des Hotels verschickt.
Das war in meinem Fall SEHR überzeugend, weil das Hotel generell einen „sehr seltsamen“ check in Prozess hatte. Das war in Amerika und man musste sich vorher auf einer Partnerseite des Hotels mit seinem Ausweis legitimieren, um einen Zugang zum Zimmer (App gesteuert) zu bekommen. Das war aber wirklich deren regulärer Prozess (die Partnerseite war auch ein zerfiziertes Unternehmen für Identitätsnachweise). Aber dadurch war man eben „schon gewohnt“ auf irgendwelche Drittseiten vom Hotel geleitet zu werden. Der eigentliche Angriff war dann aber trotzdem verdächtig, weil es natürlich keinen Sinn ergibt, dass man noch eine Zahlung machen soll, wenn schon 100% über Booking gezahlt worden sind.
Es ist doch eine Schwachstelle von Booking.com. Die Betrüger brauchen ja nur die E-Mail Adresse des Kunden. Die wird bei jedem check in in den meisten Hotels zusätzlich auf einen Zettel geschrieben.
Mit dieser Email Adresse kann man sich bei Booking.com anmelden weil zur Anmeldung lediglich eine Mail mit Bestätigungslink an den Besitzer gesendet wird. Klickt man diesen link an (es ist eine echte Mail von Booking.com und die meisten achten wahrscheinlich nicht mal drauf was die Mail will und denken der klick ist nötig für das weiterlaufen der App, oder zum bestätigen der neuen Geschäftsbedingungen etc.) klickt man drauf, ist der Betrügen (womöglich am anderen Ende der Welt) eingeloggt.
Ich bekomme seit Monaten auf meine eine Email Adresse einen Link von Booking um den Login zu bestätigen oder dergleichen.. (Verification link)
Ich lösche das immer aber es nervt und ich verstehe es nicht..