Phishing-Emails an Gäste über Messaging-Dienst von Expedia

Aktuell erreicht uns die Meldung einer Betrugsmasche über den Messaging-Dienst von Expedia. Diese Betrugsversuche waren bisher fast ausschließlich über die Kommunikationsdienste von Booking.com beobachtet worden. Nun scheint auch Expedia betroffen zu sein.

Untenstehende Abbildung zeigt den Versuch von Hackern, über eine Fake-Nachricht im Namen eines gebuchten Hotels über Expedia, den Gast dazu zu bringen, auf einen personalisierten Link zur erneuten Eingabe seiner Kredidkartendaten zu klicken. Die Nachricht informiert den Gast über eine fehlgeschlagene Verifizierung des Zahlungsmittels. Sollte die erneute Eingabe der Kreditkartendaten nicht innerhalb von 24 Stunden erfolgen, würde das gebuchte Zimmer storniert werden.

Meldepflicht nach Art. 33 DSGVO bei Phishing-Emails an Hotelgäste über den Messaging-Dienst von Booking.com

© Canva Pty. Ltd

In der letzten Zeit haben Cyberkriminelle ausgeklügelte Methoden entwickelt, um die Kontrolle über Hotelkonten bei der Online-Hotelbuchungsplattform Booking.com zu erlangen (siehe unten).

Aus den Hotelkonten bei Booking.com senden die Betrüger sodann sehr glaubhafte E-Mails und Textnachrichtenüber die Kommunikationskanäle der Booking-Plattform an aktuelle und ehemalige Gäste der Hotels. Da die Kriminellen alle Buchungsdaten einsehen können, wirken die Nachrichten auch für geschulte Augen sehr überzeugend.

Meistens senden diese Betrüger gefälschte Aufforderungen im Namen der Hotels, die eine erneute Eingabe der Kreditkartendaten verlangen oder zu sonstigen Zahlungen auffordern. Kunden, die auf diese Anfragen reagieren und ihre Kreditkartendaten eingeben, werden zu Opfern von Kreditkartenbetrug.

Die Hotels werden auf den Betrug häufig erst dadurch aufmerksam, dass betroffene Gäste direkt im Hotel anrufen und nachfragen, ob die erneute Eingabe der Kreditkartendaten bzw. die erneute Zahlung des Übernachtungspreises wirklich notwendig ist.

Nach unserer Auffassung treffen Booking.com unstreitig besondere Sorgfalts-, Melde- und Abhilfepflichten. Wer Nutzer und Hotelpartner zwingt, ausschließlich über das plattformeigene Extranet zu kommunizieren, der muss auch entsprechende Sicherheitsstandards gewährleisten. Auch der teils „stiefmütterliche“ Umgang mit der Angelegenheit und das Fehlen unverzüglicher und effektiver Abhilfemaßnahmen durch Booking.com stellt eine Pflichtverletzung da.

Um Klarheit darüber zu erlangen, welche Pflichten für Hotels entstehen, die von einer solchen Attacke betroffene sind, hat der Hotelverband Deutschland (IHA) beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Berlin um rechtliche Einschätzung gebeten, ob der geschilderte Sachverhalt für betroffene Hotels zu einer Meldepflicht nach Art. 33 DSGVO führen könnte.

Die Antwort des Landesbeauftragten für den Datenschutz in Berlin bezieht sich auf Ausführungen der niederländischen Aufsichtsbehörde, die für Booking.com zuständig ist, und in der Booking.com alle Verantwortung von sich weist.

Die Antwort des Berliner Datenschutzbeauftragten hat den folgenden Grundtenor:

„Die bisher eingegangenen Meldungen bzgl. des Datenschutzvorfalls konnten noch nicht abschließend bewertet werden. Leider sind noch nicht alle Antworten von den meldenden Unternehmen eingegangen.

Wenn die Schutzverletzung der personenbezogenen Daten beim IT-System des Hotels als Verantwortlichem passiert, dann ist das betroffene Unternehmen nach Art. 33 DS-GVO meldepflichtig. Dass die versendeten E-Mails wie E-Mails von Booking.com aussehen, ist hier nicht entscheidend.“

Die vollständige Antwort finden Sie hier.

Auch nach Auffassung der Rechtsanwaltssozietät Spirit Legal besteht bei diesen Fällen in der Regel eine behördliche Meldepflicht für die Hotels nach Art. 33 DSGVO. Peter Hense, Rechtsanwalt und Partner bei Spirit Legal gibt folgende Einschätzung:

• Die Kommunikationsinfrastruktur des Extranets teilen sich die Hotels mit Booking.com, für die gemeinsam verwalteten Buchungsdaten sind sie gemeinsame Verantwortliche, für die sowohl Booking.com als auch die Hotels alle gesetzlichen Pflichten treffen.
   
• Bei Zugriff auf die Hotelaccounts liegt in jedem Fall eine meldepflichtige Verletzung vor. Das gilt auch dann, wenn auf die Accounts der Hotels nicht durch Phishing, sondern durch eine „Backdoor“ bei Booking.com zugegriffen würde. Es bleibt bei der gemeinsamen Infrastruktur und Datenhaltung, welche eine gemeinsame Verantwortlichkeit begründen.
   
• Nur in dem Fall, dass die Daten direkt in einem vom Extranet unabhängigen IT-System bei Booking.com abgegriffen werden, was zumindest denkbar ist, wäre allein Booking.com verantwortlich.
   
• Auch eine Information der Betroffenen, also aller über das Extranet identifizierbaren Gäste, ist aufgrund der Risiken für die Gäste erforderlich, Art. 34 DSGVO sieht diese gesetzliche Pflicht vor. Eine solche Information muss direkt gegenüber den Gästen erfolgen und dient der Vermeidung weitergehender Schäden.
   
• Von einer Meldepflicht kann nur abgesehen werden, wenn es nachweislich kein Risiko gab (Phishing-Attacke fliegt sofort auf, keine Daten abgeflossen, Zugänge wurden sofort gesperrt). In allen anderen Fällen muss gemeldet werden!
   
• Wichtig ist die Meldepflicht bei der eigenen Cybersecurity-Versicherung (wenn vorhanden), hier besteht eine Meldepflicht i.d.R. aufgrund der (teils unterschiedlichen) Versicherungsbedingungen. Wird eine Meldung unterlassen, kann dies zum vollständigen Erlöschen des Versicherungsschutzes führen.
   
• Gleiches gilt unter PCI-DSS gegenüber den Kreditkarten-Anbietern.

Die wichtigsten Punkte, die mal als Hotel in die Wege leiten muss, wenn der Booking.com-Account gehackt und Gäste von Betrügern kontaktiert wurden, sind hier noch einmal dargestellt - es besteht kein Anspruch auf Vollständigkeit!

Maßnahmen des Hotels bei Booking.com:

• Meldung des Sicherheitsproblems an Booking.com (binnen 24-Stunden) (https://partner.booking.com/de/hilfe/recht-sicherheit/sicherheit/ein-sicherheitsproblem-melden).
   
• Sofortige Änderung der Passwörter zum Booking.com Extranet (es ist ratsam, auch die Passwörter zu den eigenen E-Mail-Konten zu prüfen).
   
• Sofern noch nicht geschehen, Aktivierung der Zwei-Faktor-Authentifizierung für das Extranet-Konto bei Booking.com bzw. Prüfung, ob die hinterlegte Telefonnummer zur Verifizierung korrekt ist.
   
• Überprüfung der Einstellungen zu den automatisierten Nachrichten (Posteingang -Buchungsnachrichten - Nachrichtenvorlagen bearbeiten).
   
• Überprüfung der bisherigen Gästekommunikation nach fremden Nachrichten.
   
• Information an alle betroffenen Gäste, dass der Hotel-Account bei Booking.com gehackt wurde und möglicherweise Fake-Nachrichten versendet werden.

Maßnahmen im Hotel:

• Überprüfung der eigenen IT-Systeme auf Viren oder Spyware.
   
• Interne Passwörter ändern.
   
• Schulung und Sensibilisierung der Mitarbeiter.

Mahnahmen gegenüber den Datenschutzbehörden:

• Meldung der Datenpanne bei dem zuständigen Beauftragten für Datenschutz und Informationsfreiheit binnen 72 Stunden nach bekannt werden der Panne.
  
  Eine Übersicht der der Datenschutzbeauftragen finden Sie hier: https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html

Sonstige Maßnahmen:

• Meldung bei der eigenen Cybersecurity-Versicherung (wenn vorhanden).
   
• Gleiches gilt unter PCI-DSS gegenüber den Kreditkarten-Anbietern.
   
• Optional: Strafanzeige bei der Zentralen Ansprechstellen Cybercrime der Polizeien für Wirtschaftsunternehmen (https://www.polizei.de/Polizei/DE/Einrichtungen/ZAC/zac_node.html)

Update zu neuen Betrugsvarianten im Zusammenhang mit dem System von Booking.com

Stand: 15.01.2024

Aktuell häufen sich erneut die Meldungen von diversen Betrugsfällen im Zusammenhang mit den Systemen der Online-Buchungsplattform Booking.com. Die aktuellsten Betrugsvarianten haben wir hier für Sie zusammengestellt.

Sollten Ihnen ähnliche Fälle wie nachstehend beschrieben begegnen, melden Sie diese bitte an Tobias Warnecke, warnecke@hotellerie.de.

Last-minute-Phishing durch Kurzfristbuchung

Aktuell erhalten wir Meldungen von Hotels, die eine Phishing-Email im Namen von Booking erhalten, die suggeriert, dass das Hotel schnell Einstellungen im Extranet anzupassen hat, sofern die vorgegebenen Einstellungen nicht weiter gewünscht werden. Dem Hotel wird unterstellt, dass in den Settings im Extranet hinterlegt wurde, dass das Hotel Kurzfristbuchungen auch ohne weitere Angaben des Gastes, inklusive Kreditkartendaten eingestellt hat. Sollte das Hotel diese Einstellung ändern wollen, müsste es unter dem angegebenen Link geändert werden.

Abbildung Last-minute-Phishing durch angebliche Kurzfristbuchung 

Klicken Sie auf keinen Fall auf den Link, um Ihre Settings anzupassen. Hierbei handelt es sich um eine Phishing-E-Mail.

Erneute Phishing-Emails an Gäste über Messaging-Dienst von Booking.com

Update: Erneut erreicht uns die Meldung einer Betrugsmasche über den Messaging-Dienst von Booking. Folgende Abbildung zeigt den Versuch von Hackern, über eine Fake-Nachricht im Namen eines gebuchten Hotels über Booking, den Gast dazu zu bringen, auf einen personalisierten Link zur Verifizierung des Zahlungsmittels zu klicken. Die Nachricht informiert den Gast über eine temporäre Zahlungsabbuchung zur erfolgreichen Verifizierung des Zahlungsmittels. Der Gast würde dann den Betrag direkt wieder erstattet bekommen. Hierbei handelt es sich um Betrug!

Uns erreichen diverse Meldungen von Betroffenen, die von Phishing-Emails berichten, in denen eine erneute Verifizierung der Kreditkarte verlangt wird und das trotz bereits erfolgter Bezahlung. Folgende Abbildung zeigt die dreiste Ansprache der Cyberangreifer über den Messaging-Dienst von Booking.com:

Hinweis: Hotels sollten unbedingt unverzüglich folgende Sicherheitschecks durchführen:

• Änderung der Passwörter zum Booking.com Extranet (es ist ratsam, auch die Passwörter zu den eigenen E-Mail-Konten zu prüfen)
• Überprüfung der ursprünglich hinterlegten Telefonnummer zur Zwei-Faktor-Authentifizierung 
• Überprüfung der Einstellungen zu den automatisierten Nachrichten (Posteingang -Buchungsnachrichten - Nachrichtenvorlagen bearbeiten)
• Überprüfung der bisherigen Gästekommunikation nach fremden Nachrichten

Betrügerische Phishingmails zur 2-Faktor-Authentifizierung (2FA)

Wir wurden von einem Hotelier informiert, dass es aktuell sogar im Kontext der 2-Faktor-Authentifizierung zu betrügerischen Phishingmails an Hotels kommt. In der untenstehenden E-Mail wird der Hotelier vermeintlich über neue Sicherheitsmechanismen im Booking.com Extranet informiert und aufgefordert, sich in sein Extranetkonto einzuloggen. Diese Benachrichtigung stammt allerding nicht von Booking.com, was man aber fast nur an der Absendeadresse erkennen kann (Von: Booking <info@booking-account-verification-com.moseslakeattorney.com> ).

Es ist dennoch dringend zu empfehlen, die Zwei-Faktor-Authentifizierung für Ihr Konto bei Booking.com zu aktivieren bzw. zu prüfen, ob die hinterlegte Telefonnummer zur Verifizierung korrekt ist.

2FA (2-Faktor-Authentifizierung) fügt eine zusätzliche Sicherheitsebene zu Ihrem Extranet-Konto bei Booking.com hinzu. Für den Fall, dass Ihr Benutzername und Ihr Passwort gefährdet sind, sendet Booking.com einen individuellen Verifizierungscode an Ihr Mobilgerät, der eingegeben werden muss, um Zugriff auf Ihr Konto zu erhalten.

Nähere Informationen finden Sie unter dem folgenden Link:

https://partner.booking.com/de/hilfe/recht-sicherheit/sicherheit/sicherung-ihres-kontos

Kontaktaufnahme mit angeblichem Gästefeedback im Namen von Booking.com

Laut Rückmeldung von mehreren Hotels kusieren aktuell Phishing-Emails, die fälschlicherweise im Namen von Booking.com versendet werden. Das Hotel wird um proaktive Maßnahmen zur Verbesserung der Hotelleistung gebeten, da nach Gästerückmeldungen ein angeblicher Missstand im Hotel festgestellt wurde.  Sollte das Hotel nicht reagieren, wird mit Sperrung des Hoteleintrags bei Booking.com gedroht.

Hier finden Sie zwei Beispieltext der Phishing-Email:

Abbildung: Phishing-Nachricht im Namen von Booking.com 

Hinweis: Bitte öffnen Sie auf keinen Fall den Anhang der Email! Anhand der eigentümlichen Ausdrucksweise ist bereits erkennbar, dass es sich hierbei nicht um eine offizielle Ansprache seitens Booking.com handelt. Booking.com wird Unterkunftspartner niemals darum bitten, ein Passwort-geschütztes Dokument mit Gästefeedback zu öffnen!

Betrugsmasche mit Textnachricht zur Zahlungsaufforderung per Krypto-Währung

Ein Gast erhielt eine Nachricht über die Nachrichtenfunktion von Booking.com, angeblich geschickt vom gebuchten Hotel, mit der Information, dass die Buchung auch direkt über einen personalisierten Link per Krypto-Zahlung beglichen werden könne und dies innerhalb der nächsten 24 Stunden zu erfolgen hätte, um eine Streichung der Buchung zu vermeiden. Die Nachricht wurde in Englisch verfasst und enthält einen langen Link mit vielen Buchstaben und Zahlen, auf den der Gast auf keinen Fall klicken sollte, um keine Viren o.ä. auf seinen Rechner zu importieren. Folgende Abbildungen zeigen die Nachricht der Cyberangreifer:

Betrugsmasche mit Zahlungsaufforderung nach Buchung zur Verifizierung der Kreditkarte

Ein Unterkunftsanbieter berichtet von einer weiteren Betrugsvariante, bei der von Dritten auf Buchungsdaten zugegriffen wurde, nachdem eine Buchung über Booking.com erfolgte. Die Betrüger sendeten im Anschluss der Buchung folgende Email an mehrere Gäste des Hotels und forderten sie auf, eine weitere Prüfung des Zahlungsmittels anzustoßen, nachdem angeblich die Verifizierung der Kreditkarte nach Buchung fehlgeschlagen wäre. Hierzu wurde der Gast aufgefordert über einen externen Link eine erneute Prüfung, in Form einer Abbuchung des gesamten Buchungsbetrages, durchführen zu lassen. Dabei wurde dem Gast versichert, dass der Betrag nach erfolgreicher Abbuchung unverzüglich zurückgebucht werden würde und dieser Vorgang lediglich zur erfolgreichen Authorisierung des Zahlungsmittels notwendig sei.

Abbildung: Phishing-Email an den Gast mit Zahlungsaufforderung

Das Hotel informierte unverzüglich seine Gäste, erhielt von der Buchungsplattform Booking.com allerdings wenig Unterstützung. Die Kommunikation war nach Information der Unterkunft schwerfällig und führte zu keinem zufriedenstellenden Ergebnis. Das Hotel spricht von 3 Betroffenen, die bereits eine weitere Zahlung über den Link der Betrüger veranlasst hatten. Die abgebuchte Summe war dabei deutlich höher und entsprach nicht dem eigentlich gebuchten Preis.

Hacking des Extranet-Accounts eines Hotels und Änderung der Auszahlungsverbindung

Ein Unterkunftsanbieter berichtete uns, dass das Extranet-Konto der Unterkunft gehakt wurde. Dabei wurden die Bankverbindung der Unterkunft für Auszahlungen geändert, sodass Booking.com fälschlicherweise Zahlungen an ein unbekanntes Litauisches Bankkonto überwies. Auch die notwendige 2-Faktor-Authentifizierung, die einen zusätzlichen Pin-Code erfordert, um Bankdaten zu ändern, wurde von den Betrügern augenscheinlich umgangen oder gehackt.

Update vom 10. November 2023: Ein weiterer Unterkunftsanbieter berichtet uns von der Änderung der Auszahlungsverbindung im Extranet von Booking. Dank der Aufmerksamkeit des Hotels und seiner regelmäßigen Prüfung, konnte das Hotel einen finanziellen Schaden verhindern. Jedoch berichtet uns das Hotel ebenfalls, dass der Support von Booking trotz Vorlegung von Beweisfotos und eigenen Recherchen, die Möglichkeit, dass der Account gehackt worden sein könnte, als unmöglich bezeichnete und die akute Gefahrenlage nicht ernstgenommen wurde. Nach einer erneuten Sperrung und Entfernung des Bankkontos aus der Auszahlungsverbindung, vermisst das Hotel bis jetzt erneut die dringende Rückmeldung seitens Booking.

Folgende Abbildung zeigt das geänderte Bankkonto als Empfänger für Auszahlungen der Buchungsplattform:

Abbildung: Bankangaben im Extranet von Booking

Hinweis:

Bitte überprüfen Sie regelmäßig Ihre Zahlungseingänge sowie die hinterlegten Bankdaten, um sicher zu stellen, dass Ihnen hier kein Schaden entsteht.

Booking.com wird Unterkunftspartner niemals darum bitten, Benutzernamen, Passwörter oder den PIN-Codes für die Zwei-Faktor-Authentifizierung weiterzugeben – wenn Unterkünfte dazu aufgefordert werden, sollten diese die Anfrage ablehnen.

Unterkunftspartner sollten für das Booking.com-Extranet ein langes, schwer zu erratendes Passwort verwenden, das sich von den Passwörtern unterscheidet, die sie für andere Online-Dienste verwenden, und (sofern noch nicht geschehen) eine Zwei-Faktor-Authentifizierung einrichten.

Gefahr von Malware durch Phishing-Emails von Buchenden

Bereits seit Monaten berichten uns Hotels uns von wiederkehrenden Phishing-Emails, die dazu dienen, den Anwender dazu zu bewegen, Dateien bzw. Links zu öffnen, um Viren in das Betriebssystem unbeabsichtigt einzuschleusen. 

Der vermeintliche Gast, der über Booking.com gebucht hat, bittet das Hotel über das Kommunikationssystem von Booking.com, direkt per E-Mail oder WhatsApp mit dem Gast in Kontakt zu treten, um (in diesem Fall) bei einem geplanten Hochzeitsantrag zu helfen, der während des Aufenthalts in dem Hotel erfolgen soll. Der Text wurde in mehreren Sprachen erstellt und weist ggf. diverse grammatikalische Fehler auf.

Wenn sich das Hotel darauf einlässt, senden die vermeintlichen Gäste eine E-Mail, in der sie das Hotel dazu auffordern, auf einen Link zu klicken (oder eine Anlage zu öffnen). Dieser Link enthält eine ausführbare Datei, die eine Reihe von Viren enthält. Diese übernehmen unter anderem in Webbrowsern gespeicherten Passwörter, Sitzungscookies und kommunizieren mit dem Remote-Server der Cyberkriminellen. Dadurch können PCs und das gesamte Netzwerk infiziert werden. Das Ziel des Angriffs besteht sehr wahrscheinlich darin, insbesondere den Hotelaccount im Extranet von Booking.com in die Hand zu nehmen, um die Kontaktdaten und Bankverbindung (siehe oben) zu ändern.

Jede Kundenanfrage, die diesem Muster folgt, sollte als stark verdächtig angesehen werden!

Abbildung: Phishing-Nachricht über Booking.com

Sollte ein Hotel eine solche Phishing-Mail bereits über das  eigene E-Mailsystem erhalten haben, empfiehlt es sich, den Absender als Spam zu markieren, die Email unwiderruflich zu löschen und ggf. bei Unsicherheiten den Informationssicherheitsbeauftragten im Unternehmen schnellst möglich zu kontaktieren, um sicher zu stellen, dass das System nicht infiltriert wurde. 

Abbildung Cyberangriff per Phishing-Email

Zusätzlich sollte die Buchung dem Support von Booking.com als Fakebuchung mit kriminellem Hintergrund gemeldet werden, damit die Buchung unverzüglich gelöscht wird und die Buchungsplattform weitere Schritte einleiten kann.

Fakebuchung mit kriminellem Hintergrund können Sie über den folgenden Link bei Booking.com melden:

https://partner.booking.com/de/hilfe/recht-sicherheit/sicherheit/ein-sicherheitsproblem-melden

Kurzfristige Fakebuchungen mit nicht belastbarer Kreditkarte

In diesen Fällen häufen sich Fake-Buchungen, die nicht sofort als solche erkennbar sind und sehr kurzfristig getätigt werden.

Seit mehreren Wochen werden in betroffenen Hotels Suiten, zum Teil mit dem Wunsch mehrerer Extrabetten, gebucht. Die Buchungen werden sehr kurzfristig über die Webseiten der Hotels getätigt, seit Kurzem haben sich diese Buchungen auch auf die Online-Buchungsplattform Booking.com ausgeweitet.

Oft sieht es so aus, als ob es einen Gruppenbezug zwischen der Vielzahl an Namen aus gleichen Ländern (z. B. schwedischer Herkunft) gibt, de facto handelt es sich jedoch um Individualbuchungen.

Folgende Abbildung zeigt die Buchung am geplanten Anreisetag über Booking.com für 5 Personen und die dazu gehörige Anfrage für weitere gewünschte kostenpflichtige Serviceleistungen.

Abbildung: Dubiose Kurzfristbuchungen mit weitergehenden Kontaktanfrage per Email

Der Absender bittet um direkte Kontaktaufnahme und nennt eine dubiose E-Mail-Adresse, an die das Hotel weiterführend kommunizieren soll.  Die Gästeadressen sind entweder unvollständig, frei erfunden oder stimmen nicht.

Fake-Eintrag eines Hotels

Ein Hotel berichtete uns von einem Vorfall, bei dem ein Fake-Inserat mit Nutzung diverser Datenelemente des (echten) Hotels auf Booking.com eingestellt wurde. Es fehlte augenscheinlich eine Prüfung seitens Booking.com in Bezug auf die Echtheit einer Unterkunft. Die Bezeichnung des Fake-Hotels ähnelte dem echten Hotels sehr stark, des Weiteren wurden dessen Fotos sowie die Adresse verwendet. 

Als Buchungsoption wurde jedoch lediglich eine Anfrage ermöglicht. Dann erhielt man offenbar einen Link zu Telegram und eine Zahlungsaufforderung. Einige aufmerksame "Gäste" fanden das Ganze seltsam und informierten das (echte) Hotel.

Booking.com vernachlässigt offensichtlich die Verifizierung neuer Inserate, die auf der Plattform online gestellt werden. Auch der nachfolgende "Support" über Booking.com kostete das Hotel Zeit und Nerven, bis das Fake-Inserat Stunden später offline genommen wurde.

Verstärkte Betrugsversuche im Rahmen der Wartungsarbeiten am Zahlungssystem von Booking.com

Stand: 26.06.2023

Aus Frankreich und Deutschland erreichen uns aktuell Berichte, dass Hotels Rechnungen, die vermeintlich von Booking.com stammen, erhalten und aufgefordert werden, den offenen Rechnungsbetrag auf ein neues Konto zu überweisen, da aktuell keine SEPA-Lastschrift erfolgen könne. In der Rechnung werden Namen und Reisedaten von tatsächlichen Hotelgästen aufgeführt.

Bei diesen Rechnungen handelt es sich um Betrug!

Die Betrüger nutzen zudem den Umstand, dass aufgrund der Wartungsarbeiten bei Booking.com (siehe unten), Zahlungen erst nach dem 12. Juli wieder im Extranet sichtbar sind  und der Hotelier so nicht prüfen kann, ob seine regulären Zahlungen bei Booking.com eingegangen sind.

Bitte Informieren Sie Ihre Mitarbeiterinnen und Mitarbeiter und beachten Sie die folgenden Punkte:

1. Booking.com hat und wird seine bisherigen Bankdaten nicht ändern. Alle Zahlungen müssen weiterhin auf das bekannte Konto überwiesen werden.
    
2. Wenn Sie Anrufe wegen Booking.com Rechnungen erhalten, handelt es sich sehr wahrscheinlich um Betrüger. Geben Sie am Telefon keine Informationen oder Daten heraus und beenden Sie das Gespräch! Booking.com-Mitarbeiter aus der Buchhaltung  werden nicht bei Ihnen  im Hotel anrufen.
    
3. Sollten Sie eine Rechnung oder Zahlungsaufforderung per E-Mail erhalten, klicken Sie auf keine Links und öffnen keine Anhänge! Die Provisionsrechnungen befinden sich nach wie vor im Extranet von Booking.com und können dort abgerufen werden.
    
4. Im Zweifel rufen Sie Ihren Market Manager von Booking.com an, bevor Sie Zahlungen veranlassen.
    
5. Bleiben Sie auch nach dem 12. Juli wachsam. Es kann sein, dass Betrüger auch nach dem Abschluss der Wartungsarbeiten versuchen, Kontakt zu Hotels aufzunehmen.   

Hintergrund:

Booking.com führt in der Zeit 1. bis 11. Juli 2023 Wartungsarbeiten an seinem Zahlungssystem durch.

Während der Wartungsarbeiten wird sich Folgendes ändern:

• Die Möglichkeit, Rechnungen an Booking.com per Online-Zahlung oder Banküberweisung zu begleichen, wird weiterhin zur Verfügung stehen. Allerdings wird die Zahlung erst nach dem 12. Juli im Extranet sichtbar sein.
   
• Wenn eine Unterkunft wegen unbezahlter Rechnungen geschlossen wurde, wird sie gebeten, einen Zahlungsnachweis zu erbringen, um wieder geöffnet zu werden, da Booking.com während der Wartungsperiode nicht in der Lage ist, den Zahlungseingang automatisch zu überprüfen.
   
• Die Bearbeitung von Provisionszahlungen, Rückerstattungen und Gutschriften von Booking.com kann sich in den Monaten Juli und August verzögern.

Für Unterkünfte, die wöchentliche oder monatliche Zahlungen per Banküberweisung erhalten, gibt es folgende Hinweise:

• Wenn eine Unterkunft Zahlungen per Booking.com-Banküberweisung auf monatlicher Basis erhält, wird die Auszahlung für die Juni-Buchungen aufgeteilt: Check-outs zwischen dem 1. und 25. Juni werden am 26. Juni 2023 bearbeitet. Die verbleibenden Auszahlungen zwischen dem 26. und 30. Juni werden bis zum 2. August 2023 zusammen mit den Auszahlungen für Juli bearbeitet.
   
• Wenn die Unterkünfte wöchentlich Auszahlungen per Booking.com-Banküberweisung erhalten, wird die Auszahlung der Juni-Buchungen aufgeteilt: Auszahlungen für Reservierungen, die ab dem 28. Juni ausgecheckt wurden, werden bis zum 24. Juli 2023 in einer konsolidierten Zahlung verarbeitet. Der reguläre Auszahlungsplan wird voraussichtlich am 27. Juli 2023 wieder aufgenommen.

Warnung vor Cyberangriffen über das Kommunikationssystem von Booking.com

Stand: 16.01.2023

Wie wir IHA-Mitglieder bereits informierten, treten seit einigen Tagen in Frankreich vermehrt Betrugsversuche über die Kommunikationskanäle von Booking.com auf. Der französische Hotelverband GNI warnt konkret vor zwei verschiedenen Angriffsmethoden, die über das Booking.com-Extranet ausgeführt werden. Mittlerweile sind uns auch Fälle aus Deutschland, Österreich und Portugal bekannt!

Sollten Ihnen ähnliche Fälle wie nachstehend beschrieben begegnen, melden Sie diese bitte Herrn Tobias Warnecke, warnecke@hotellerie.de.

Das trojanische Pferd

Bei der ersten Cyberattacke handelt es sich um einen gut inszenierten Betrug von (falschen) Booking.com-Kunden. Die Methode ist relativ einfach:

Ein potentieller Gast, der über Booking.com beim Hotel bucht, fragt über die Kommunikationskanäle von Booking.com beim Hotel nach einer direkten E-Mail-Adresse des Hotels unter dem Vorwand, eine E-Mail mit einem angeblichen Link von Google Maps zu schicken, um den genauen Standort des Hotels für die Anreise zu erfahren. Meist ist die Rede davon, dass es sich um Senioren handelt, die Hilfe benötigen.

Anschließend senden die vermeintlichen Gäste eine E-Mail, in der sie das Hotel dazu auffordern, auf einen Link zu klicken (oder eine Anlage zu öffnen). Dieser Link enthält eine ausführbare Datei, die eine Reihe von Viren enthält. Diese übernehmen unter anderem in Webbrowsern gespeicherten Passwörter, Sitzungscookies und kommunizieren mit dem Remote-Server der Cyberkriminellen. Das genaue Ausmaß der Attacke ist bisher noch nicht bekannt.

In jedem Fall können PCs und das gesamte Netzwerk infiziert werden. Es scheint das Ziel des Angriffs darin zu bestehen, insbesondere den Hotelaccount im Extranet von Booking.com in die Hand zu nehmen, um den Hotelnamen, die Kontaktdaten sowie Zimmerverfügbarkeiten und Preise zu ändern. Bisher können nur einige wenige Antivirenprogramme den infizierten Link erkennen! Daher sollte jede Kundenanfrage, die diesem Muster folgt, als stark verdächtig angesehen werden.

Phishing von Kundendaten

Die zweite Cyberangriffsmethode ist etwas subtiler, da sie die Daten sowohl aus dem vorherigen Hackerangriff, als auch aus anderen Sicherheitslücken, die noch nicht entdeckt wurden, beziehen kann. Die Cyberkriminellen nehmen dabei direkt Kontakt mit Ihren Gästen, die über Booking.com gebucht haben auf, dies geschieht entweder über die Mailbox des Extranets oder über WhatsApp. In jedem Fall werden die Kunden aufgefordert, auf einen Link zu klicken und ihre Kreditkarte (erneut) anzugeben.

GNI hat Booking.com umgehend kontaktiert, um sicherzustellen, dass die Situation von deren Sicherheitsabteilung unter Kontrolle gebracht wird. Eine schriftliche Bestätigung hierüber ist bei der GNI noch nicht eingegangen.

Es ist daher dringend zu empfehlen, die Mitarbeiter in der Gästekommunikation über diese Fälle zu informieren und zu sensibilisieren. Zudem sollte so schnell wie möglich überprüft werden, ob ähnliche Anfragen bereits im eigenen Betrieb stattgefunden haben. Stellen Sie sicher, dass die von Ihnen eingesetzten Antivirenprogramme auf dem neuesten Stand sind.

Sollten verdächtige Nachrichten über das Kommunikationssystem von Booking.com bei Ihnen auftauchen, informieren Sie Booking.com:

https://partner.booking.com/de/hilfe/recht-sicherheit/sicherheit/ein-sicherheitsproblem-melden