Zur Hauptreisezeit häufen sich wieder Betrugsversuche über Buchungsplattformen wie Booking.com. Bereits Anfang des Jahres hatten sich mehrere Betroffene bei der deutschen Verbraucherzentrale gemeldet und die Betrugsversuche geschildert. Die österreichische Verbraucherschutz-Website Watchlist Internet erneuerte nun diese Warnung vor wenigen Tagen zu Beginn der Hauptreisezeit. Ein Betroffener sei zum Beispiel direkt im Nachrichtenportal von Booking.com vom Hotel angeschrieben und zur Verifizierung der Zahlungsdaten aufgefordert worden. Parallel dazu erhielt er eine Whatsapp-Nachricht mit echtem Namen und auch dem Namen des Hotels. Sogar der Buchungszeitraum und Buchungsnummer waren richtig.

In der Whatsapp-Nachricht, die vom Absender "B2chat" kam, hieß es, der Angeschriebene müsse über die Nachricht bei Booking.com noch einen Verifizierungsprozess abschließen. Passend dazu stand in der Nachricht der Booking.com-App: "Aufgrund einer Aktualisierung der Buchungsregeln sind wir gezwungen, eine zusätzliche Kartengarantie zur Sicherung Ihrer Unterkunft zu verlangen." Über einen Link auf eine fremde Internetseite sollte der Benutzer dann Kreditkartendaten angegeben.

Doch die verlinkte Internetseite stammte nicht vom gebuchten Hotel oder Booking.com, was der Buchende zum Glück bemerkte. Dabei war sie der echten Booking.com-Seite täuschend ähnlich. Die Internetadresse oben in der Adressleiste passte aber nicht. Hätte er dort seine Kreditkartendaten eingegeben, hätten die Kriminellen diese erhalten und dann beispielsweise versuchen können, mit seinen Kartendaten einzukaufen.

Betrüger fordern Buchende über täuschend echte Fake-Seiten auf, erneut Kreditkartendaten einzugeben. Getty Images

Wie sind solche Betrugsversuche möglich? Auf Anfrage der Verbraucherzentrale erklärt Booking.com, dass Mitarbeitende der Unterkünfte durch Phishing dazu verleitet worden seien, unerlaubten Zugriff auf ihr Booking.com-Konto zu ermöglichen. Die Betrüger versuchen dann, sich als Unterkunftspartner auszugeben, um von Kunden eine Zahlung zu verlangen, die nicht in der Buchungsbestätigung vorgesehen ist.

Damit das Phishing gelingen kann, hätten sich die Betrüger auch laut Watchlist Internet zunächst Zugang zum Booking.com-Buchungssystem der Hotels verschafft. So könnten sie auf die Buchungsdaten zugreifen und Benachrichtigungen als tatsächliche Gastgeber schicken, wie die Verbraucherexperten erklären. Das ist letztlich besonders gefährlich, denn viele Kunden schöpfen dann keinen Verdacht.

Über Chat bedrängt

In den Nachrichten heißt es, es sei eine erneute Bestätigung einer Buchung notwendig – auch in jenen Fällen, in denen Kunden bereits bezahlt hätten, warnt das Verbraucherschutzportal. Um zu bestätigen, solle man – typisch für einen Phishing-Versuch – auf einen Link klicken. Um die Chancen auf Erfolg zu erhöhen, wird Druck erzeugt. Die Betrüger geben an, man hätte lediglich zwölf Stunden Zeit, um zu handeln.

Gefährlich wird es, sofern man den Trick nicht durchschaut und der Verlinkung folgt. Laut Watchlist Internet leiten die Kriminellen die Portalnutzer auf eine gefälschte Webseite um, wie sie auch die deutsche Verbraucherzentrale beschreibt. Dort werden dann Kreditkartendaten abgefragt – bedrängt würden Kunden meist über einen "Service-Chat". Dort fordern die Betrüger dann auch die Bestätigung von Kartenzahlung ein, die meist via Banking-App freigeschaltet werden muss. "Um Sie dazu zu bewegen, reden die Kriminellen Ihnen ein, dass Sie das Geld zurückbekommen und es sich um den üblichen Vorgang zur Buchungsbestätigung handle", warnt Watchlist Internet.

So handelt man richtig

Um diese Betrugsmasche zu umgehen, kann man zum Beispiel die Option "Zahlung in der Unterkunft" verwenden, sofern das angeboten wird. Darüber hinaus sollte ausschließlich die Zahlungsmöglichkeiten innerhalb der Buchungsplattform verwendet werden. Erhält man nach der Buchung eine Mitteilung, dass etwas nicht funktioniert habe, wendet man sich am besten selbst an den Kundenservice der Buchungsplattform oder telefonisch bei der gebuchten Unterkunft. Booking.com betont, "dass in der Regel bei keiner legitimen Transaktion von einem Kunden verlangt wird, sensible Informationen wie Kreditkartendaten per E-Mail, Chat-Nachricht, SMS, WhatsApp oder Telefon anzugeben".

Wer dennoch auf den Betrug hereingefallen ist und Kreditkartendaten auf einer fremden Internetseite angegeben hat, sollte umgehend seine Bank oder den Aussteller der Kreditkarte kontaktieren. Möglicherweise kann abgebuchtes Geld noch zurückgeholt werden. Auf jeden Fall sollten man rasch die Kreditkarte sperren lassen und Anzeige bei der Polizei erstatten. (saum, 11.7.2024)