Booking.com hat sich zu einer der wichtigsten Plattformen für Reisende entwickelt. Hier finden sie Ferienunterkünfte aber auch Dienstleistungen wie Autovermietungen und Flugtickets – und das meist zu attraktiven Preisen. Das niederländische Unternehmen genießt einen guten Ruf und hat sich den Titel der weltweit meistbesuchten Reise- und Tourismus-Website  erkämpft. Mit mehr als einer Milliarde Buchungen hat sich das Auftragsvolumen seit 2016 mehr als verdoppelt.

Diese Popularität ist auch den Cyberkriminellen nicht entgangen, die sich immer wieder auf Online-Dienste mit hohem Besucheraufkommen stürzen. Urlaubsportale sind für sie ein äußerst lukratives Jagdrevier.

Booking.com selbst hat das Ausmaß des Problems erkannt: Der Anbieter verzeichnet einen "Anstieg von 500 bis 900 %" bei Reisebetrügereien in den letzten 18 Monaten. Vor allem die breite Verfügbarkeit von KI-Tools ab November 2022 scheint hierfür verantwortlich zu sein.

Die Urlaubssaison ist bereits in vollem Gange. Daher lohnt sich ein Blick auf die beliebtesten Arten von Cyberbetrug:

Phishing

Phishing-E-Mails, -Texte und -Nachrichten in sozialen Medien gehören zum täglich Brot der Betrüger. Hierbei geben sie sich als seriöse Plattform oder Organisation aus und gaukeln dem Opfer vor, ein offizieller Vertreter der Website zu sein.

Natürlich sind auch große Urlaubsanbieter nicht vor dieser Art von Betrug gefeit. Es gibt immer wieder Kampagnen, bei denen sich die Betrüger als die Plattform oder Vertreter des Hotels oder einer anderen Dienstleistung ausgeben. Meistens imitieren sie dabei einen Dienstleister, den ihre Zielpersonen über die Website gebucht haben.

Oft erfinden sie eine plausible Geschichte, um den Kunden künstlich unter Druck zu setzen: Zum Beispiel, dass eine Zahlung noch aus steht und die Reservierung storniert werden könnte. Damit wollen sie ihr Opfer dazu bringen, unbedacht auf einen Link zu klicken oder Daten preiszugeben.

 

Figure 1. Booking scam
Abbildung 1. Betrugsversuch (Quelle: Reddit)

Die leichte Verfügbarkeit von generativen KI-Tools öffnet überzeugenden und effektiven Betrugsversuchen Tür und Tor. Sie erzeugen grammatikalisch korrekte und passende Phishing-E-Mails. Oft verleiten sie ihre Opfer dazu, datenraubende Malware auf ihre Geräte herunterzuladen, sensible Informationen preiszugeben oder Geld zu überweisen.

Gekaperte Chats

Manche Betrüger gehen noch weiter und versenden nicht nur wahllos Phishing-Nachrichten. Es gibt eine Reihe von Berichten über Angreifer, die ihre Opfer über das Nachrichtensystem der Plattform täuschen.

Bei dieser Angriffsmethode verschafften sich die Hacker per Phishing Zugang zu den Online-Konten von Hotels. Danach kontaktierten sie eine große Anzahl von Personen direkt über den In-App-Chat. Ihre Masche war wiederum: Die angegebene Kreditkarte konnte nicht verifiziert werden, um die Buchung zu bestätigen. Die Buchung wird innerhalb von 12 Stunden storniert, falls der Empfänger seine Karte nicht erneut verifiziert. Ein Link in der Nachricht führt zu einer Phishing-Seite, auf der er seine Daten eingeben kann. 

Dies ist auf keinen Fall auf Booking.com anzulasten, der Fehler liegt auf Seiten der gephishten Hotels. Nutzer sollten bei Mitteilungen, die nach persönlichen Informationen oder Zahlungsdaten fragen, besonders vorsichtig sein – auch und besonders dann, wenn die Nachricht Druck ausübt.

Nicht existierende Unterkünfte

So manche Ferienunterkunft scheint auf den ersten Blick direkt einem Märchen entsprungen zu sein. Einige von ihnen sind im wahrsten Sinne des Wortes unwirklich. Viele Urlauber sind Opfer von Betrügereien geworden, bei denen Cyberkriminelle ein luxuriöses Ferienhaus bewerben. Der Preis: unschlagbar günstig. Kommen Urlauber der Aufforderung nach und zahlen, stellen sie bei ihrer Ankunft fest: Die Unterkunft existiert nicht oder sie wird gar nicht vermietet.

Die Plattformen reagieren hier sehr schnell und entfernen gefälschte Angebote. Allerdings locken auch in dieser kurzen Zeitspanne Betrüger erfolgreich Opfer in die Falle. Das traurige Ergebnis: Das Geld ist weg und das Hotel ist immer noch nicht gebucht.

Nutzer schauen sich am besten die Bewertungen die Ferienwohnung bzw. das Hotel an und vergleichen den Preis mit ähnlichen Angeboten in der Region. Zudem hilft eine Rückwärtssuche mit dem Bild der Unterkunft: Hier zeigt sich schnell, ob es sich um ein echtes Gebäude handelt oder um ein kostenloses Archivbild oder ein Foto, das von einer anderen Seite gestohlen wurde. Fazit: Wenn etwas zu gut aussieht, um wahr zu sein, dann ist es das meistens auch.

Gefälschte Jobangebote

Der Text oder die Nachricht in den sozialen Medien ist ganz einfach: „Wir brauchen jemanden, der Hotelbuchungen auswertet. Wir zahlen zwischen $200 und $1.000. Alles, was Sie tun müssen, ist, das Hotel zu bewerten.“ So beginnt die Nachricht, die für einen unwiderstehlichen Nebenjob wirbt.

Figure 2. Booking scam
Abbildung 2. Gefälschtes Jobangebot (Quelle: Reddit)

Der vermeintliche Arbeitgeber in spe fordert dann dazu auf, eine Vorschussgebühr zu zahlen, um den Job zu sichern. Auch persönliche Daten wie Sozialversicherungsnummern oder andere Details sind häufig Teil des Deals. Mit diesen Informationen können Hacker die Identität ihrer Opfer stehlen.

Wie können Sie sich schützen? Kein seriöser Arbeitgeber stellt Leute ein, um Hotels zu bewerten – schon gar nicht über unaufgeforderte Textnachrichten.. 

Wer sich für die Reisebranche interessiert, sollte sich auf den Websites der Anbieter und in Jobportalen nach Stellenangeboten umsehen.

12 Tipps für eine entspannte Reise:

Diese Tipps helfen, bei der Nutzung von Buchungsportalen sicher zu bleiben:

  • Achten Sie auf typische Anzeichen einer Phishing-E-Mail, wie z. B. dringende Handlungsaufforderungen.
  • Stellen Sie sicher, dass E-Mails vom offiziellen Anbieter stammen und achten Sie auf Rechtschreibfehler oder Abweichungen. Legitime E-Mail-Adressen sind auch auf der Website selbst aufgeführt.
  • Gehen Sie bei Erhalt einer verdächtigen Mitteilung direkt auf die Website und loggen sich in Ihr Konto ein, um alle Angaben zu überprüfen.
  • Ein seriöser Anbieter fragt niemals nach Informationen wie vollständigen Kreditkartendaten, Sozialversicherungsnummern oder Passwörtern per E-Mail oder Chat. Ignorieren Sie solche Anfragen, da es sich immer um einen Betrugsversuch handelt.
  • Klicken Sie nicht auf Links in unaufgeforderten E-Mails oder Nachrichten.
  • Nehmen Sie Zahlungen nur über die offizielle Plattform vor und überweisen sie ihr Geld nicht direkt an den Anbieter der Unterkunft.
  • Prüfen Sie die Bewertungen der Unterkunft auf Anbieterbieterseiten und achten Sie auf authentische und detaillierte Rezensionen. Überprüfen Sie die Details und Bilder der Unterkunft auf anderen Reise-Websites oder Bewertungsplattformen überprüfen.
  • Vergewissern Sie sich, dass Ihre Geräte mit aktueller Sicherheitssoftware ausgestattet sind, sodass Sie vor Malware und Phishing-Versuchen sicher sind.
  • Halten Sie ihr Betriebssystem und andere Software auf dem neuesten Stand, um sich vor Sicherheitslücken zu schützen.
  • Schützen Sie Ihre Online-Konten mit starken und eindeutigen Passwörtern oder Passphrasen und einer Zwei-Faktor-Authentifizierung.
  • Melden Sie verdächtige Aktivitäten dem Kundendienst der Plattform.
  • Informieren Sie sofort die Bank oder Ihren Kreditkartenanbieter, sobald sie glauben, dass Ihre Zahlungsinformationen kompromittiert wurden.

Bon Voyage!