Perfekt getarnte Betrugsmasche bedroht Urlauber: Mit gestohlenen Hotelbuchungsdaten erschleichen sich Kriminelle Kreditkarteninformationen und verursachen bereits Millionenschäden.
Sicherheitsexperten schlagen Alarm: Betrüger haben eine neue Masche entwickelt, um an die Kreditkartendaten von Urlaubern zu gelangen. Der Sicherheitssoftware-Hersteller Eset warnt vor Kriminellen, die gezielt gestohlene Hotelbuchungsdaten nutzen, um potenzielle Opfer via WhatsApp oder SMS zu kontaktieren. In Großbritannien wurden laut The Guardian zwischen Juni und September 2024 über 532 solcher Betrugsfälle registriert, die einen finanziellen Schaden von rund einer halben Million Euro verursachten. Auch in Australien dokumentierten Behörden im vergangenen Jahr 363 Betrugsfälle im Zusammenhang mit Booking.com.
Das Vorgehen der Betrüger ist raffiniert: Nach einer regulären Hotelbuchung über etablierte Portale wie Booking.com oder Airbnb erhalten Reisende kurze Zeit später eine Nachricht, angeblich vom gebuchten Hotel. Diese enthält präzise Details wie Buchungsnummer, Namen und Reisedaten, was den Anschein von Authentizität erweckt. Unter dem Vorwand angeblicher Sicherheitsmaßnahmen oder einer Zwei-Faktoren-Verschlüsselung werden die Urlauber aufgefordert, ihre Kreditkartendaten erneut zu bestätigen – andernfalls drohe die Stornierung der Buchung.
⇢ Achtung Fake-Banker: Neue Betrugsmasche am Telefon
Ein beigefügter Link führt zu einer täuschend echten, aber gefälschten Website, auf der die sensiblen Daten abgegriffen werden. Hinter diesen Attacken stehen Hacker und organisierte kriminelle Netzwerke, die sich unbefugten Zugriff auf Hotel- oder Buchungsplattform-Konten verschafft haben. Die Täter nutzen dafür häufig Phishing-Mails, Schadsoftware oder Datenlecks.
Auch österreichische Urlauber im Visier
Die Betrugsmasche hat mittlerweile auch Österreich erreicht, wie aktuelle Fälle aus Tirol belegen. Kriminelle verschaffen sich durch gezielte Angriffe auf Hotelverwaltungssysteme Zugang zu echten Gästedaten und nutzen diese für personalisierte Phishing-Nachrichten, besonders häufig kurz vor Reiseantritt, wenn Urlauber unter Zeitdruck stehen. Sowohl österreichische Hotels als auch deren Gäste sind von dieser Betrugsmasche betroffen.
Die Verbraucherzentrale und mehrere Verbraucherschutzorganisationen im deutschsprachigen Raum warnen aktuell vor der starken Zunahme dieser Betrugsfälle. Besonders tückisch: Die Täter verfügen über äußerst detaillierte Buchungsinformationen, was die Erkennung des Betrugs selbst für aufmerksame Nutzer erschwert. Betroffene werden ausdrücklich dazu geraten, Zahlungsdaten ausschließlich über die offiziellen Buchungsportale einzugeben.
⇢ Opfer gesucht: Polnischer Abholer von Polizei gefasst!
@erzieherfoerderungen
Sicherheitslücken nutzen
Diese Sicherheitsverletzungen ermöglichen ihnen den Zugang zu echten Reservierungsdaten, was die Erstellung überzeugender betrügerischer Nachrichten erleichtert. Ein direkter Zugriff auf vollständige Kreditkartendaten ist dank der Sicherheitsarchitektur seriöser Buchungsportale allerdings erschwert. Laut Eset besteht ein grundlegendes Problem darin, dass zahlreiche Hotels nach wie vor auf einfache Nutzerzugänge ohne zusätzliche Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung setzen.
Dadurch genügt ein kompromittiertes Login, um auf umfangreiche Gästedaten und Buchungsinformationen zuzugreifen – einschließlich Reisedaten und teilweise sogar Zahlungshistorien. Mit diesen Informationen fällt es Betrügern leicht, glaubwürdige Nachrichten zu verfassen, die Nutzer zur Preisgabe ihrer Kreditkartendaten verleiten.
Warnzeichen erkennen
Verdächtig sind vor allem Kommunikationsversuche außerhalb der offiziellen Buchungsplattform – besonders über WhatsApp, SMS oder E-Mail. Weitere Warnsignale sind Drohungen und Zeitdruck, etwa durch Hinweise auf drohende Stornierungen, Links zu externen Webseiten sowie auffällige Grammatik- oder Rechtschreibfehler und ungewöhnliche Absenderadressen.
Bei Erhalt solcher Nachrichten sollten Verbraucher nicht übereilt reagieren und keinesfalls auf Links klicken oder die Nachricht beantworten. Stattdessen empfiehlt sich die direkte Anmeldung beim Buchungsportal oder die Kontaktaufnahme mit dem Hotel über die offiziell angegebenen Kommunikationswege. Wurden bereits sensible Daten preisgegeben, ist die sofortige Sperrung und der Ersatz der Kreditkarte ratsam.
Polizei und Verbraucherschützer raten dringend, niemals Zahlungsdaten über WhatsApp, SMS oder externe Links preiszugeben und im Verdachtsfall umgehend die Kreditkarte zu sperren sowie Anzeige bei der Polizei zu erstatten. Der Betrugsversuch sollte beim zuständigen Cybercrime-Portal gemeldet werden.
