Hotelbuchungen gehackt: Achtung vor dieser Betrugsmasche auf WhatsApp

Sicherheitssoftware-Hersteller Eset warnt vor einer perfiden Betrugstaktik: Kriminelle nutzen derzeit verstärkt gestohlene Hotelbuchungsdaten, um potenzielle Urlauber per WhatsApp oder SMS zu kontaktieren und so an ihre Kreditkartendaten zu kommen.

Wie läuft die Masche ab?

• Nach einer gewöhnlichen Hotelbuchung über ein seriöses Portal (bspw. Booking.com oder Airbnb) erhält der Urlauber meist kurze Zeit später eine WhatsApp-Nachricht oder SMS, die angeblich vom gebuchten Hotel stammt.
• Die Nachricht enthält korrekte Buchungsnummer, Namen und Reisedaten – daher wirkt alles authentisch.
• Angeblich müsse man die Kreditkartendaten aus "Sicherheitsgründen" und wegen vermeintlicher Zwei-Faktoren-Verschlüsselung erneut bestätigen, ansonsten drohe die Buchung zu verfallen.
• Ein klickbarer Link führt auf eine gefälschte Seite, auf der sensible Angaben abgefragt werden.
• Psychologischer Druck durch Drohungen ("Buchung wird storniert") erhöht dabei die Erfolgswahrscheinlichkeit.

Wer steckt dahinter?

Die Täter sind Hacker und kriminelle Banden, die sich Zugang zu Hotel- oder Buchungsplattform-Konten verschafft haben, oftmals über Phishing-Mails, Malware oder Datenleaks. Diese Angriffe erlauben ihnen, auf echte Reservierungsdaten zuzugreifen und so glaubwürdige Nachrichten zu verschicken. Ein direkter Zugriff ist auf Kreditkartendaten ist aufgrund hoher Sicherheitsmaßnahmen der Websites glücklicherweise schwer möglich.

Sicherheitslücke Hotels

Viele Hotels setzen laut Sicherheitssoftware-Hersteller Eset leider weiterhin auf Nutzerzugänge, ohne Zwei-Faktor-Authentifizierung. Damit reicht ein geklautes Login, um auf Gästedaten und Buchungslisten zuzugreifen – inklusive Reisedaten und (teilweise) Zahlungshistorie. Damit ist das Verfassen einer glaubwürdigen Nachricht leicht, die Nutzer dazu veranlassen, ihre Kreditkartendaten selbst preiszugeben. 

Konkrete Fälle und Beispiele

In Großbritannien wurden, wie The Guardian berichtet, allein zwischen Juni 2024 und September 2024 mehr als 532 solcher Betrugsfälle gemeldet, wodurch ein Gesamtschaden von einer halben Million Euro entstanden ist. Den Opfern wurde über WhatsApp oder gefälschte Booking.com-Kommunikation mitgeteilt, dass eine Zahlungsüberprüfung nötig sei, oder die Reservierung sonst verfällt. Auch in Australien wurden im vergangenen Jahr 363 Betrugsfälle via Booking.com dokumentiert.

Warnzeichen erkennen

• Nachrichten außerhalb der offiziellen Buchungsplattform – insbesondere per WhatsApp, SMS oder E-Mail sind ein klarer Warnhinweis, dass es sich um Betrug handeln könnte.
• Drohungen und psychologischer Druck, wie etwa "Ihre Buchung wird storniert".
• Klick auf Links, die auf externe Seiten führen (z. B. nicht auf der bekannten Plattform).
• Grammatik‑ oder Rechtschreibfehler und eine unübliche Absenderadresse.

Was kann man tun?

Wenn man eine solche Nachricht erhält, sollte man nicht sofort reagieren und Links klicken, oder auf die WhatsApp-Nachricht oder SMS antworten. Stattdessen sollte man sich direkt beim Buchungsportal einloggen oder im Zweifelsfall sogar das Hotel über die offiziell angegebene Telefonnummer oder E‑Mailadresse kontaktieren. Wenn sensible Daten bereits ausgehändigt wurden, sollte man die Karte unverzüglich sperren und ersetzen lassen. Ebenso sinnvoll ist es, den betrügerischen Vorfall bei der Polizei oder dem zuständigen Cybercrime-Portal zu melden.