Stand: 08.09.2025
Aus dem Kreis unserer Mitglieder wurde uns ein Betrugsfall im Zusammenhang mit den von Booking.com ausgegebenen Virtuellen Kreditkarten (VCC) gemeldet. Nach den vorliegenden Informationen wurden einige dieser Karten bereits vor Anreise der Gäste von Dritten unberechtigt belastet, wodurch ein Schaden in erheblicher Höhe entstanden ist. Besonders problematisch ist, dass die Belastungen durch eine unbekannte Firma erfolgt sind und das betroffene Hotel keinerlei Einfluss auf diesen Vorgang hatten. Auffällig war, dass die Belastung der VCC im Extranet von Booking.com teilweise ohne Zwei-Faktor-Authentifizierung (2FA) erfolgt ist. Zusätzlich traten Unstimmigkeiten bei einzelnen Buchungen auf (z. B. Stornierungen, die im Extranet nicht korrekt abgebildet wurden).
Ähnliche Fälle wurden uns auch von den Kollegen aus Italien gemeldet. Es ist daher nicht auszuschließen, dass weitere Betriebe betroffen sind, insbesondere wenn noch nicht eingelöste VCC für künftige Buchungen bereits kompromittiert wurden. Wir raten daher, die Abwicklung von VCC engmaschig zu überwachen, verdächtige Vorgänge genau zu dokumentieren und umgehend an Booking.com zu melden und im Missbrauchsfall ggf. auch die zuständigen Strafverfolgungsbehörden einzuschalten.
Leider war der Support seitens Booking.com im vorliegenden Fall sehr langsam und (bisher) nicht hilfreich.
Sollte ein ähnlicher Fall auch in Ihrem Haus aufgetreten sein, melden Sie diese bitte an Tobias Warnecke, warnecke@hotellerie.de
Der geschilderte Vorfall verdeutlicht, dass Virtuelle Kreditkarten von Booking.com nicht in jedem Fall die zugesicherte Sicherheit gewährleisten.
Stand 31.03.2025
Kriminelle versenden aktuell postalisch sowie per E-Mail Schreiben an BGN-Mitgliedsunternehmen mit dem Betreff „Pflicht zur Anbringung des Augenspülstation-Schildes – Frist zur Umsetzung“ beziehungsweise „Wichtige Zahlungsaufforderung für Augenspül-Schild (verpflichtend)“. Den Schreiben beigefügt ist eine Rechnung, neuerdings erweitert um eine "Augenspülstation nach DIN Norm".
Zudem werden seit dem Wochenende (30./31.03.25) Schreiben mit dem Absender "DGUV Deutsche Gesetzliche Unfallversicherung" mit dem Betreff "Einführung des digitalen Präventionsmoduls zum 1. Juli 2025 Verpflichtende Teilnahme für alle Mitgliedsunternehmen – inkl. Beitragssenkung" verschickt. Auch diese Schreiben sind Fälschungen und Betrug!
Diese Schreiben sind mit hoher krimineller Energie gefälscht. Sowohl das Anschreiben als auch die Rechnung enthalten eine angebliche BGN-Telefonnummer, unter der sich die Berufsgenossenschaft Nahrungsmittel und Gastgewerbe meldet. Vermutlich landen diese Anrufe in einem Call-Center im Ausland, die Verbrecher haben offensichtlich einen enormen Aufwand betrieben. Auch die Mail-Adresse, die in den Schreiben angegeben ist, ist falsch. Die verwendete Adresse „berufsgenossenschaft-nahrungsmittel-gastgewerbe.com“ wird auf die tatsächliche Seite der BGN weitergeleitet – auch dies ein Täuschungsmanöver. Mittlerweile variieren die verschiedenen Domain-Namen, auch hier hat die BGN entsprechende Maßnahmen eingeleitet.
Wichtig: Leisten Sie keine Zahlungen! Die BGN versendet grundsätzlich keine Rechnungen für Materialien, wie etwa für Schilder.
Die Strafverfolgungsbehörden sind informiert, die BGN unternimmt alle möglichen rechtlichen Schritte – auch, um einen eventuellen Schaden für die Mitgliedsbetriebe möglichst klein zu halten. Sollten Sie bereits Zahlungen geleistet haben, melden Sie sich bitte per Mail an . Wir raten in diesen Fällen dringend zur Anzeige und teilen Ihnen dann das entsprechende Aktenzeichen sowie den Mailkontakt der Strafverfolgungsbehörden mit.
Wenn Zweifel bestehen: Die Präventions-Hotline der BGN beantwortet unter 0621/4456-3517 alle Fragen, ob ein Anruf oder ein Schreiben tatsächlich von der BGN in Auftrag gegeben wurde.
Stand: 14.03.2025
Microsoft veröffentlicht eine Warnung zu einer neuen Phishing-Masche, bei der sich die Betrügergruppe Storm-1865 als Booking.com ausgibt, um auf Hotellerie-Rechnern Malware für Kreditkartendiebstahl und Finanzbetrug zu installieren.
Bei der Masche bekommen Hotellerie-Angestellte zunächst eine E-Mail - vermeintlich von Booking.com - zugeschickt. Der Inhalt der E-Mails bezieht sich häufig auf negative Hotelbewertungen, Anfragen von potenziellen Reisenden oder Anfragen zur Kontoverifizierung. Die E-Mails sollen eine schnelle Reaktion hervorrufen und die Empfänger dazu bringen, auf einen Link oder in eine PDF zu klicken, ohne die Legitimität der Nachricht zu prüfen.
Sobald ein Empfänger auf den Link klickt, wird er auf eine gefälschte Booking.com-Webseite umgeleitet, die ein CAPTCHA-Rätsel („Completely Automated Public Turing test to tell Computers and Humans Apart") anzeigt.
Dieses gefälschte CAPTCHA ist Teil einer als ClickFix bekannten Social-Engineering-Technik. Die Benutzer werden dabei angewiesen, eine erfundene Aufgabe durch Kopieren und Einfügen einer Tastenkombination in den "Windows-Ausführen"-Dialog zu lösen. So kann die schädliche Malware ohne die sonst übliche Sicherheitsmechanismen auf die Rechner der Opfer gedownloaded werden!
Stand: 11. Oktober 2024
Erneut erreichen uns die Meldungen von Betrugsversuchen im Zusammenhang mit Hotelbuchungen über die Plattform von Booking. Folgende Abbildungen zeigen den Versuch von Betrügern, über eine WhatsApp Fake-Nachricht im Namen eines gebuchten Hotels über Booking, den Gast dazu zu bringen, auf einen personalisierten Link zur Verifizierung des Zahlungsmittels zu klicken. In diesem Fall hat der Gast erfreulicherweise richtig reagiert und direkt beim Hotel nachgefragt, ob mit seiner Buchung alles in Ordnung ist.
© Canva Pty. Ltd
In der letzten Zeit haben Cyberkriminelle ausgeklügelte Methoden entwickelt, um die Kontrolle über Hotelkonten bei der Online-Hotelbuchungsplattform Booking.com zu erlangen (siehe unten).
Aus den Hotelkonten bei Booking.com senden die Betrüger sodann sehr glaubhafte E-Mails und Textnachrichtenüber die Kommunikationskanäle der Booking-Plattform an aktuelle und ehemalige Gäste der Hotels. Da die Kriminellen alle Buchungsdaten einsehen können, wirken die Nachrichten auch für geschulte Augen sehr überzeugend.
Meistens senden diese Betrüger gefälschte Aufforderungen im Namen der Hotels, die eine erneute Eingabe der Kreditkartendaten verlangen oder zu sonstigen Zahlungen auffordern. Kunden, die auf diese Anfragen reagieren und ihre Kreditkartendaten eingeben, werden zu Opfern von Kreditkartenbetrug.
Die Hotels werden auf den Betrug häufig erst dadurch aufmerksam, dass betroffene Gäste direkt im Hotel anrufen und nachfragen, ob die erneute Eingabe der Kreditkartendaten bzw. die erneute Zahlung des Übernachtungspreises wirklich notwendig ist.
Nach unserer Auffassung treffen Booking.com unstreitig besondere Sorgfalts-, Melde- und Abhilfepflichten. Wer Nutzer und Hotelpartner zwingt, ausschließlich über das plattformeigene Extranet zu kommunizieren, der muss auch entsprechende Sicherheitsstandards gewährleisten. Auch der teils „stiefmütterliche“ Umgang mit der Angelegenheit und das Fehlen unverzüglicher und effektiver Abhilfemaßnahmen durch Booking.com stellt eine Pflichtverletzung da.
Um Klarheit darüber zu erlangen, welche Pflichten für Hotels entstehen, die von einer solchen Attacke betroffene sind, hat der Hotelverband Deutschland (IHA) beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Berlin um rechtliche Einschätzung gebeten, ob der geschilderte Sachverhalt für betroffene Hotels zu einer Meldepflicht nach Art. 33 DSGVO führen könnte.
Die Antwort des Landesbeauftragten für den Datenschutz in Berlin bezieht sich auf Ausführungen der niederländischen Aufsichtsbehörde, die für Booking.com zuständig ist, und in der Booking.com alle Verantwortung von sich weist.
Die Antwort des Berliner Datenschutzbeauftragten hat den folgenden Grundtenor:
„Die bisher eingegangenen Meldungen bzgl. des Datenschutzvorfalls konnten noch nicht abschließend bewertet werden. Leider sind noch nicht alle Antworten von den meldenden Unternehmen eingegangen.
Wenn die Schutzverletzung der personenbezogenen Daten beim IT-System des Hotels als Verantwortlichem passiert, dann ist das betroffene Unternehmen nach Art. 33 DS-GVO meldepflichtig. Dass die versendeten E-Mails wie E-Mails von Booking.com aussehen, ist hier nicht entscheidend.“
Die vollständige Antwort finden Sie hier.
Auch nach Auffassung der Rechtsanwaltssozietät Spirit Legal besteht bei diesen Fällen in der Regel eine behördliche Meldepflicht für die Hotels nach Art. 33 DSGVO. Peter Hense, Rechtsanwalt und Partner bei Spirit Legal gibt folgende Einschätzung:
Die wichtigsten Punkte, die man als Hotel in die Wege leiten muss, wenn der Booking.com-Account gehackt und Gäste von Betrügern kontaktiert wurden, sind hier noch einmal dargestellt - es besteht kein Anspruch auf Vollständigkeit!
Maßnahmen des Hotels bei Booking.com:
Maßnahmen im Hotel:
Mahnahmen gegenüber den Datenschutzbehörden:
Sonstige Maßnahmen:
Stand: 03. Juni 2024
Es kursieren aktuell erneut Phishing-Emails, die fälschlicherweise im Namen von Booking.com versendet werden. Angeblich läge eine beträchtliche Anzahl von Beschwerden von Gästen über das unprofessionelle und unbefriedigende Verhalten des Hotelpersonals vor. Sollte das Hotel nicht reagieren, wird mit Sperrung des Hoteleintrags bei Booking.com gedroht.
Konkret heißt es in der E-Mail:
Wir schreiben Ihnen, um Sie auf ein dringendes Problem aufmerksam zu machen, von dem wir kürzlich Kenntnis erhalten haben. Wir haben eine beträchtliche Anzahl von Beschwerden von Gästen über das unprofessionelle und unbefriedigende Verhalten Ihres Personals erhalten.
Diese Angelegenheit ist sehr besorgniserregend, da sie sich direkt auf den Ruf und die Vertrauenswürdigkeit Ihrer Einrichtung auf unserer Plattform auswirkt. Wir fordern Sie dringend auf, diese Beschwerden umgehend zu bearbeiten und die notwendigen Schritte zu unternehmen, um sicherzustellen, dass sich solche Vorfälle nicht wiederholen.
Wir weisen Sie darauf hin, dass die Nichtbehebung dieses Problems dazu führen kann, dass der Zugang zum Eintrag Ihrer Immobilie auf unserer Plattform eingeschränkt wird.
Klicken Sie auf keinen Fall auf Links innerhal dieser E-Mail, es handelt es sich um eine Phishing-Mail!
Stand: 09. April 2024
Aktuell erreicht uns die Meldung einer Betrugsmasche über den Messaging-Dienst von Expedia. Diese Betrugsversuche waren bisher fast ausschließlich über die Kommunikationsdienste von Booking.com beobachtet worden. Nun scheint auch Expedia betroffen zu sein.
Untenstehende Abbildung zeigt den Versuch von Hackern, über eine Fake-Nachricht im Namen eines gebuchten Hotels über Expedia, den Gast dazu zu bringen, auf einen personalisierten Link zur erneuten Eingabe seiner Kredidkartendaten zu klicken. Die Nachricht informiert den Gast über eine fehlgeschlagene Verifizierung des Zahlungsmittels. Sollte die erneute Eingabe der Kreditkartendaten nicht innerhalb von 24 Stunden erfolgen, würde das gebuchte Zimmer storniert werden.
Stand: 15.01.2024
Sollten Ihnen ähnliche Fälle wie nachstehend beschrieben begegnen, melden Sie diese bitte an Tobias Warnecke, warnecke@hotellerie.de.
Aktuell erhalten wir Meldungen von Hotels, die eine Phishing-Email im Namen von Booking erhalten, die suggeriert, dass das Hotel schnell Einstellungen im Extranet anzupassen hat, sofern die vorgegebenen Einstellungen nicht weiter gewünscht werden. Dem Hotel wird unterstellt, dass in den Settings im Extranet hinterlegt wurde, dass das Hotel Kurzfristbuchungen auch ohne weitere Angaben des Gastes, inklusive Kreditkartendaten eingestellt hat. Sollte das Hotel diese Einstellung ändern wollen, müsste es unter dem angegebenen Link geändert werden.
Abbildung Last-minute-Phishing durch angebliche Kurzfristbuchung
Klicken Sie auf keinen Fall auf den Link, um Ihre Settings anzupassen. Hierbei handelt es sich um eine Phishing-E-Mail.
Update: Erneut erreicht uns die Meldung einer Betrugsmasche über den Messaging-Dienst von Booking. Folgende Abbildung zeigt den Versuch von Hackern, über eine Fake-Nachricht im Namen eines gebuchten Hotels über Booking, den Gast dazu zu bringen, auf einen personalisierten Link zur Verifizierung des Zahlungsmittels zu klicken. Die Nachricht informiert den Gast über eine temporäre Zahlungsabbuchung zur erfolgreichen Verifizierung des Zahlungsmittels. Der Gast würde dann den Betrag direkt wieder erstattet bekommen. Hierbei handelt es sich um Betrug!
Uns erreichen diverse Meldungen von Betroffenen, die von Phishing-Emails berichten, in denen eine erneute Verifizierung der Kreditkarte verlangt wird und das trotz bereits erfolgter Bezahlung. Folgende Abbildung zeigt die dreiste Ansprache der Cyberangreifer über den Messaging-Dienst von Booking.com:
Hinweis: Hotels sollten unbedingt unverzüglich folgende Sicherheitschecks durchführen:
Wir wurden von einem Hotelier informiert, dass es aktuell sogar im Kontext der 2-Faktor-Authentifizierung zu betrügerischen Phishingmails an Hotels kommt. In der untenstehenden E-Mail wird der Hotelier vermeintlich über neue Sicherheitsmechanismen im Booking.com Extranet informiert und aufgefordert, sich in sein Extranetkonto einzuloggen. Diese Benachrichtigung stammt allerding nicht von Booking.com, was man aber fast nur an der Absendeadresse erkennen kann (Von: Booking <info@booking-account-verification-com.moseslakeattorney.com> ).
Es ist dennoch dringend zu empfehlen, die Zwei-Faktor-Authentifizierung für Ihr Konto bei Booking.com zu aktivieren bzw. zu prüfen, ob die hinterlegte Telefonnummer zur Verifizierung korrekt ist.
2FA (2-Faktor-Authentifizierung) fügt eine zusätzliche Sicherheitsebene zu Ihrem Extranet-Konto bei Booking.com hinzu. Für den Fall, dass Ihr Benutzername und Ihr Passwort gefährdet sind, sendet Booking.com einen individuellen Verifizierungscode an Ihr Mobilgerät, der eingegeben werden muss, um Zugriff auf Ihr Konto zu erhalten.
Nähere Informationen finden Sie unter dem folgenden Link:
https://partner.booking.com/de/hilfe/recht-sicherheit/sicherheit/sicherung-ihres-kontos
Laut Rückmeldung von mehreren Hotels kusieren aktuell Phishing-Emails, die fälschlicherweise im Namen von Booking.com versendet werden. Das Hotel wird um proaktive Maßnahmen zur Verbesserung der Hotelleistung gebeten, da nach Gästerückmeldungen ein angeblicher Missstand im Hotel festgestellt wurde. Sollte das Hotel nicht reagieren, wird mit Sperrung des Hoteleintrags bei Booking.com gedroht.
Hier finden Sie zwei Beispieltext der Phishing-Email:
Abbildung: Phishing-Nachricht im Namen von Booking.com
Hinweis: Bitte öffnen Sie auf keinen Fall den Anhang der Email! Anhand der eigentümlichen Ausdrucksweise ist bereits erkennbar, dass es sich hierbei nicht um eine offizielle Ansprache seitens Booking.com handelt. Booking.com wird Unterkunftspartner niemals darum bitten, ein Passwort-geschütztes Dokument mit Gästefeedback zu öffnen!
Ein Gast erhielt eine Nachricht über die Nachrichtenfunktion von Booking.com, angeblich geschickt vom gebuchten Hotel, mit der Information, dass die Buchung auch direkt über einen personalisierten Link per Krypto-Zahlung beglichen werden könne und dies innerhalb der nächsten 24 Stunden zu erfolgen hätte, um eine Streichung der Buchung zu vermeiden. Die Nachricht wurde in Englisch verfasst und enthält einen langen Link mit vielen Buchstaben und Zahlen, auf den der Gast auf keinen Fall klicken sollte, um keine Viren o.ä. auf seinen Rechner zu importieren. Folgende Abbildungen zeigen die Nachricht der Cyberangreifer:
Ein Unterkunftsanbieter berichtet von einer weiteren Betrugsvariante, bei der von Dritten auf Buchungsdaten zugegriffen wurde, nachdem eine Buchung über Booking.com erfolgte. Die Betrüger sendeten im Anschluss der Buchung folgende Email an mehrere Gäste des Hotels und forderten sie auf, eine weitere Prüfung des Zahlungsmittels anzustoßen, nachdem angeblich die Verifizierung der Kreditkarte nach Buchung fehlgeschlagen wäre. Hierzu wurde der Gast aufgefordert über einen externen Link eine erneute Prüfung, in Form einer Abbuchung des gesamten Buchungsbetrages, durchführen zu lassen. Dabei wurde dem Gast versichert, dass der Betrag nach erfolgreicher Abbuchung unverzüglich zurückgebucht werden würde und dieser Vorgang lediglich zur erfolgreichen Authorisierung des Zahlungsmittels notwendig sei.
Abbildung: Phishing-Email an den Gast mit Zahlungsaufforderung
Das Hotel informierte unverzüglich seine Gäste, erhielt von der Buchungsplattform Booking.com allerdings wenig Unterstützung. Die Kommunikation war nach Information der Unterkunft schwerfällig und führte zu keinem zufriedenstellenden Ergebnis. Das Hotel spricht von 3 Betroffenen, die bereits eine weitere Zahlung über den Link der Betrüger veranlasst hatten. Die abgebuchte Summe war dabei deutlich höher und entsprach nicht dem eigentlich gebuchten Preis.
Ein Unterkunftsanbieter berichtete uns, dass das Extranet-Konto der Unterkunft gehakt wurde. Dabei wurden die Bankverbindung der Unterkunft für Auszahlungen geändert, sodass Booking.com fälschlicherweise Zahlungen an ein unbekanntes Litauisches Bankkonto überwies. Auch die notwendige 2-Faktor-Authentifizierung, die einen zusätzlichen Pin-Code erfordert, um Bankdaten zu ändern, wurde von den Betrügern augenscheinlich umgangen oder gehackt.
Update vom 10. November 2023: Ein weiterer Unterkunftsanbieter berichtet uns von der Änderung der Auszahlungsverbindung im Extranet von Booking. Dank der Aufmerksamkeit des Hotels und seiner regelmäßigen Prüfung, konnte das Hotel einen finanziellen Schaden verhindern. Jedoch berichtet uns das Hotel ebenfalls, dass der Support von Booking trotz Vorlegung von Beweisfotos und eigenen Recherchen, die Möglichkeit, dass der Account gehackt worden sein könnte, als unmöglich bezeichnete und die akute Gefahrenlage nicht ernstgenommen wurde. Nach einer erneuten Sperrung und Entfernung des Bankkontos aus der Auszahlungsverbindung, vermisst das Hotel bis jetzt erneut die dringende Rückmeldung seitens Booking.
Folgende Abbildung zeigt das geänderte Bankkonto als Empfänger für Auszahlungen der Buchungsplattform:
Abbildung: Bankangaben im Extranet von Booking
Hinweis:
Bitte überprüfen Sie regelmäßig Ihre Zahlungseingänge sowie die hinterlegten Bankdaten, um sicher zu stellen, dass Ihnen hier kein Schaden entsteht.
Booking.com wird Unterkunftspartner niemals darum bitten, Benutzernamen, Passwörter oder den PIN-Codes für die Zwei-Faktor-Authentifizierung weiterzugeben – wenn Unterkünfte dazu aufgefordert werden, sollten diese die Anfrage ablehnen.
Unterkunftspartner sollten für das Booking.com-Extranet ein langes, schwer zu erratendes Passwort verwenden, das sich von den Passwörtern unterscheidet, die sie für andere Online-Dienste verwenden, und (sofern noch nicht geschehen) eine Zwei-Faktor-Authentifizierung einrichten.
Bereits seit Monaten berichten uns Hotels uns von wiederkehrenden Phishing-Emails, die dazu dienen, den Anwender dazu zu bewegen, Dateien bzw. Links zu öffnen, um Viren in das Betriebssystem unbeabsichtigt einzuschleusen.
Der vermeintliche Gast, der über Booking.com gebucht hat, bittet das Hotel über das Kommunikationssystem von Booking.com, direkt per E-Mail oder WhatsApp mit dem Gast in Kontakt zu treten, um (in diesem Fall) bei einem geplanten Hochzeitsantrag zu helfen, der während des Aufenthalts in dem Hotel erfolgen soll. Der Text wurde in mehreren Sprachen erstellt und weist ggf. diverse grammatikalische Fehler auf.
Wenn sich das Hotel darauf einlässt, senden die vermeintlichen Gäste eine E-Mail, in der sie das Hotel dazu auffordern, auf einen Link zu klicken (oder eine Anlage zu öffnen). Dieser Link enthält eine ausführbare Datei, die eine Reihe von Viren enthält. Diese übernehmen unter anderem in Webbrowsern gespeicherten Passwörter, Sitzungscookies und kommunizieren mit dem Remote-Server der Cyberkriminellen. Dadurch können PCs und das gesamte Netzwerk infiziert werden. Das Ziel des Angriffs besteht sehr wahrscheinlich darin, insbesondere den Hotelaccount im Extranet von Booking.com in die Hand zu nehmen, um die Kontaktdaten und Bankverbindung (siehe oben) zu ändern.
Jede Kundenanfrage, die diesem Muster folgt, sollte als stark verdächtig angesehen werden!
Abbildung: Phishing-Nachricht über Booking.com
Sollte ein Hotel eine solche Phishing-Mail bereits über das eigene E-Mailsystem erhalten haben, empfiehlt es sich, den Absender als Spam zu markieren, die Email unwiderruflich zu löschen und ggf. bei Unsicherheiten den Informationssicherheitsbeauftragten im Unternehmen schnellst möglich zu kontaktieren, um sicher zu stellen, dass das System nicht infiltriert wurde.
Abbildung Cyberangriff per Phishing-Email
Zusätzlich sollte die Buchung dem Support von Booking.com als Fakebuchung mit kriminellem Hintergrund gemeldet werden, damit die Buchung unverzüglich gelöscht wird und die Buchungsplattform weitere Schritte einleiten kann.
Fakebuchung mit kriminellem Hintergrund können Sie über den folgenden Link bei Booking.com melden:
https://partner.booking.com/de/hilfe/recht-sicherheit/sicherheit/ein-sicherheitsproblem-melden
In diesen Fällen häufen sich Fake-Buchungen, die nicht sofort als solche erkennbar sind und sehr kurzfristig getätigt werden.
Seit mehreren Wochen werden in betroffenen Hotels Suiten, zum Teil mit dem Wunsch mehrerer Extrabetten, gebucht. Die Buchungen werden sehr kurzfristig über die Webseiten der Hotels getätigt, seit Kurzem haben sich diese Buchungen auch auf die Online-Buchungsplattform Booking.com ausgeweitet.
Oft sieht es so aus, als ob es einen Gruppenbezug zwischen der Vielzahl an Namen aus gleichen Ländern (z. B. schwedischer Herkunft) gibt, de facto handelt es sich jedoch um Individualbuchungen.
Folgende Abbildung zeigt die Buchung am geplanten Anreisetag über Booking.com für 5 Personen und die dazu gehörige Anfrage für weitere gewünschte kostenpflichtige Serviceleistungen.
Abbildung: Dubiose Kurzfristbuchungen mit weitergehenden Kontaktanfrage per Email
Der Absender bittet um direkte Kontaktaufnahme und nennt eine dubiose E-Mail-Adresse, an die das Hotel weiterführend kommunizieren soll. Die Gästeadressen sind entweder unvollständig, frei erfunden oder stimmen nicht.
Ein Hotel berichtete uns von einem Vorfall, bei dem ein Fake-Inserat mit Nutzung diverser Datenelemente des (echten) Hotels auf Booking.com eingestellt wurde. Es fehlte augenscheinlich eine Prüfung seitens Booking.com in Bezug auf die Echtheit einer Unterkunft. Die Bezeichnung des Fake-Hotels ähnelte dem echten Hotels sehr stark, des Weiteren wurden dessen Fotos sowie die Adresse verwendet.
Als Buchungsoption wurde jedoch lediglich eine Anfrage ermöglicht. Dann erhielt man offenbar einen Link zu Telegram und eine Zahlungsaufforderung. Einige aufmerksame "Gäste" fanden das Ganze seltsam und informierten das (echte) Hotel.
Booking.com vernachlässigt offensichtlich die Verifizierung neuer Inserate, die auf der Plattform online gestellt werden. Auch der nachfolgende "Support" über Booking.com kostete das Hotel Zeit und Nerven, bis das Fake-Inserat Stunden später offline genommen wurde.
Stand: 26.06.2023
Aus Frankreich und Deutschland erreichen uns aktuell Berichte, dass Hotels Rechnungen, die vermeintlich von Booking.com stammen, erhalten und aufgefordert werden, den offenen Rechnungsbetrag auf ein neues Konto zu überweisen, da aktuell keine SEPA-Lastschrift erfolgen könne. In der Rechnung werden Namen und Reisedaten von tatsächlichen Hotelgästen aufgeführt.
Bei diesen Rechnungen handelt es sich um Betrug!
Die Betrüger nutzen zudem den Umstand, dass aufgrund der Wartungsarbeiten bei Booking.com (siehe unten), Zahlungen erst nach dem 12. Juli wieder im Extranet sichtbar sind und der Hotelier so nicht prüfen kann, ob seine regulären Zahlungen bei Booking.com eingegangen sind.
Bitte Informieren Sie Ihre Mitarbeiterinnen und Mitarbeiter und beachten Sie die folgenden Punkte:
Hintergrund:
Booking.com führt in der Zeit 1. bis 11. Juli 2023 Wartungsarbeiten an seinem Zahlungssystem durch.
Während der Wartungsarbeiten wird sich Folgendes ändern:
Für Unterkünfte, die wöchentliche oder monatliche Zahlungen per Banküberweisung erhalten, gibt es folgende Hinweise:
Stand: 16.01.2023
Wie wir IHA-Mitglieder bereits informierten, treten seit einigen Tagen in Frankreich vermehrt Betrugsversuche über die Kommunikationskanäle von Booking.com auf. Der französische Hotelverband GNI warnt konkret vor zwei verschiedenen Angriffsmethoden, die über das Booking.com-Extranet ausgeführt werden. Mittlerweile sind uns auch Fälle aus Deutschland, Österreich und Portugal bekannt!
Sollten Ihnen ähnliche Fälle wie nachstehend beschrieben begegnen, melden Sie diese bitte Herrn Tobias Warnecke, warnecke@hotellerie.de.
Das trojanische Pferd
Bei der ersten Cyberattacke handelt es sich um einen gut inszenierten Betrug von (falschen) Booking.com-Kunden. Die Methode ist relativ einfach:
Ein potentieller Gast, der über Booking.com beim Hotel bucht, fragt über die Kommunikationskanäle von Booking.com beim Hotel nach einer direkten E-Mail-Adresse des Hotels unter dem Vorwand, eine E-Mail mit einem angeblichen Link von Google Maps zu schicken, um den genauen Standort des Hotels für die Anreise zu erfahren. Meist ist die Rede davon, dass es sich um Senioren handelt, die Hilfe benötigen.
Anschließend senden die vermeintlichen Gäste eine E-Mail, in der sie das Hotel dazu auffordern, auf einen Link zu klicken (oder eine Anlage zu öffnen). Dieser Link enthält eine ausführbare Datei, die eine Reihe von Viren enthält. Diese übernehmen unter anderem in Webbrowsern gespeicherten Passwörter, Sitzungscookies und kommunizieren mit dem Remote-Server der Cyberkriminellen. Das genaue Ausmaß der Attacke ist bisher noch nicht bekannt.
In jedem Fall können PCs und das gesamte Netzwerk infiziert werden. Es scheint das Ziel des Angriffs darin zu bestehen, insbesondere den Hotelaccount im Extranet von Booking.com in die Hand zu nehmen, um den Hotelnamen, die Kontaktdaten sowie Zimmerverfügbarkeiten und Preise zu ändern. Bisher können nur einige wenige Antivirenprogramme den infizierten Link erkennen! Daher sollte jede Kundenanfrage, die diesem Muster folgt, als stark verdächtig angesehen werden.
Phishing von Kundendaten
Die zweite Cyberangriffsmethode ist etwas subtiler, da sie die Daten sowohl aus dem vorherigen Hackerangriff, als auch aus anderen Sicherheitslücken, die noch nicht entdeckt wurden, beziehen kann. Die Cyberkriminellen nehmen dabei direkt Kontakt mit Ihren Gästen, die über Booking.com gebucht haben auf, dies geschieht entweder über die Mailbox des Extranets oder über WhatsApp. In jedem Fall werden die Kunden aufgefordert, auf einen Link zu klicken und ihre Kreditkarte (erneut) anzugeben.
GNI hat Booking.com umgehend kontaktiert, um sicherzustellen, dass die Situation von deren Sicherheitsabteilung unter Kontrolle gebracht wird. Eine schriftliche Bestätigung hierüber ist bei der GNI noch nicht eingegangen.
Es ist daher dringend zu empfehlen, die Mitarbeiter in der Gästekommunikation über diese Fälle zu informieren und zu sensibilisieren. Zudem sollte so schnell wie möglich überprüft werden, ob ähnliche Anfragen bereits im eigenen Betrieb stattgefunden haben. Stellen Sie sicher, dass die von Ihnen eingesetzten Antivirenprogramme auf dem neuesten Stand sind.
Sollten verdächtige Nachrichten über das Kommunikationssystem von Booking.com bei Ihnen auftauchen, informieren Sie Booking.com:
https://partner.booking.com/de/hilfe/recht-sicherheit/sicherheit/ein-sicherheitsproblem-melden
