Editor's Desk Latest news

Warning: Perfidious new scam method at Booking.com and nobody wants to be to blame

Normally I’m immune to all the phishing stuff that reaches you by mail every day. But how would you react if you made a booking via Booking.com, it was also confirmed and a week later via the app and also on the website in the communication there is an obvious phishing attempt, but you recognize it as such only at second glance? Once again, the message came not by mail, but directly via the app and you can also find the content in the message history with the hotel on the website. Of course, I first called the hotel why I should verify my credit card again and the colleague at the desk said I was already the second in the last 10 minutes. She also didn’t know what to do now. I do and I also explained it to her long and wide.

I tried to reach Booking.com, but there is not even a German support hotline. Only chatbots and contact forms. Of course, I also reported it in writing, but it came: nothing. It has happened to me at Booking.com several times that some system messages came in English, although one is logged in as a German customer, so it didn’t trigger me further, but I found it funny. I have here first of all the complete message history from the Booking.com website. And please pay attention to the content because you have to be suspicious 😀

The reaction of the hotel came after an hour, after I had experimented a little with the site. The link sent via the Booking.com platform led to a page whose domain in the URL was registered via Gibraltar and which was based on the GoDaddy web building kit system. I have informed Booking.com, the hotel as well as GoDaddy in writing and at least GoDaddy has reacted and taken the page offline in the meantime.

However, I have two questions that neither Booking.com nor the hotel wanted to answer:

  1. How does a scammer get hold of my internal booking data at Booking.com, i.e. from the travel date and address to the price? That only the IT infrastructure of Best Western was infiltrated is rather unlikely, but certainly not excluded. Only who does so much work for only one hotel or chain? Also, this page showed the correct price from Booking.com at the time of sending, but not my individual and discounted amount? That’s why I rather guess the booking portal as a direct sender.
  2. How is it even possible that a scammer can send messages directly to customers via the platform in the name of the hotel? There is probably a gap in the security concept that is at least as big and deep as Lake Constance. Anyone who reads this with the app, as preferred by Booking.com, will also not see any further URLs and, with a bit of bad luck, will unfortunately trust the provider blindly. Which was probably the intention.

After all, the verification query is a sure sign that no credit card data was stolen at Booking.com, otherwise the effort would not have been necessary. However, the handling, also in the communication with the customer, raises a lot of questions about the seriousness of the parties involved and a bad light on their IT. And who is actually liable for any financial losses?

And what do you do if you do click?

I spoke with my credit card company yesterday and the legal situation is quite tricky. The hurdle to reverse any unauthorized bookings or to get a replacement is quite high, because the customer is unfortunately in the burden of proof. So it’s better to block the card in question as a preventive measure. One tip that I have been following for years is to have all debits from abroad verified, regardless of the amount. Then nothing works at all without explicit approval via the banking app. If the credit card company does not offer this: change.

In general, you should take screenshots or better not react directly at all, but at least contact the hotel or the organizer first. Booking.com is a dumb juggernaut that unfortunately does not react immediately. You are always unlucky if there is someone on the other end of the phone who is completely overwhelmed with such problems. Then, as a customer, you have to raise the escalation level, which, as you know, I like to do. The bottom line is that I certainly got away with it once again, but who doesn’t quickly click through such prompts when the travel date is close and such correspondences come directly from the provider in an official app?

Unfortunately, no one wants to say exactly where the gap is now, and how high the potential damage is, unfortunately, also not. But maybe someone else will find out who has had more luck collecting information than I have. Then there is an update.

Kommentar

Lade neue Kommentare

Rizoma

Veteran

173 Kommentare 140 Likes

Aua das hätte meine Familie auch treffen können waren erst letzte Woche über Booking 5 Tage im Urlaub ...
Haben allerdings nicht über die App bei Booking sondern nur mit einem Desktop Browser über die Website. Evtl. ist ja auch nur die App kompromittiert. Gab in der Vergangenheit oft Nachrichten über kompromittierte Andriod Apps sogar aus dem offiziellen AppStore.

Antwort Gefällt mir

echolot

Urgestein

998 Kommentare 761 Likes

Danke für den Hinweis. Alles wo ständig irgendetwas verifiziert werden muss, ist generell dubios und verdächtig. Das Internet ist ein Shithole!

Antwort 3 Likes

Igor Wallossek

1

10,299 Kommentare 19,085 Likes

Ich schrieb es ja im Artikel:
Die Webseite zeigt exakt das Gleiche und die Screens sind von der offiziellen Webseite. Das ist echt bednklich

Antwort 4 Likes

Igor Wallossek

1

10,299 Kommentare 19,085 Likes

Naja, ich hatte das ja kürzlich erst, nachdem meine Kreditkarte mal wieder verlängert wurde. CIV und Ablaufdatum neu, also alles und überall neu anmelden bzw. hinterlegen. Deshalb dachte ich zuerst, ich hatte Booking übersehen. Da lobe ich mir die Apple Wallet.

Antwort 3 Likes

T
TRX

Mitglied

60 Kommentare 47 Likes

Eine 30-sekündige Google-Suche zeigt: das Problem besteht schon seit mindestens Mai diesen Jahres. Scheinbar gab es aber damals noch etwas weniger professionell nur WhatsApp-Nachrichten. Dass der Scam über die App von Bookingscom geht, ist neu.

Wahrscheinlich reagiert Booking.com nicht mehr auf diesbezügliche Anfragen, weil sie nach so langer Zeit von dem Thema genervt sind und kein Bock mehr darauf haben. :LOL:

Antwort 3 Likes

Klicke zum Ausklappem
D
Daedalus

Veteran

157 Kommentare 137 Likes

Najo...der liebe Igor hat ja durchaus ein bisschen Reichweite, auch über andere Seiten die ihn regelmäßig zitieren. Von daher wirds wohl bald ne Reaktion geben ;-)

Antwort 2 Likes

ianann

Veteran

336 Kommentare 232 Likes

Wir haben kürzlich auch eine höherpreisige Reise für November bei booking gebucht, die Abwicklung/ Zahlung etc. läuft allerdings glücklicherweise direkt über den Reiseveranstalter. Da bei Servicefragen aber A einen zu B und B wieder zu C verweist, werden wir in Zukunft bei Reisen primär wie früher ein Reisebüro vor Ort ansteuern - bei Problem wird sich dann einfach gekümmert anstatt Verantwortlichkeiten hin- und her zu schieben. Das wird gefühlt immer schlimmer.

Antwort 1 Like

BeamMyup

Mitglied

12 Kommentare 5 Likes

Kommt mir alles bekannt vor, deshalb buche ich immer direkt beim Hotel oder wo auch immer, ohne diesen zwischen Schnickschnack der auch noch meine Daten absaugt und wer weis wo weiter verteilt, aber jedem das seine … :cautious:

Antwort 1 Like

ITSecurityGuy

Neuling

3 Kommentare 6 Likes

Eine 1-minütige Recherche zeigt den Grund, warum Igor (auch) über die App solche Nachrichten bekommen konnte:
Der Dienstleister "Majorel" erledigt komplett den Kundendienst/Support für booking.com.
Und Majorel ist wohl diesen Sommer gehackt worden:

Antwort 5 Likes

Klicke zum Ausklappem
F
Furda

Urgestein

663 Kommentare 371 Likes

"... wenn am anderen Ende des Telefons jemand sitzt, der mit solchen Problemen komplett überfordert ist. Dann muss man als Kunde schon die Eskalationsstufe erhöhen..."

Heute ein sehr grosses Problem, man hat gar keine richtigen Anlaufstellen mehr.
Nur eine FAQ oder ein strunzdummer Chat Bot, aber keinen Echtzeit Chat mit dem Support, oder gar die Möglichkeit anzurufen.
Selbst bei Weltkonzernen ist es so, dass eine Support Anfrage auf Nimmerwiedersehen irgendwo in einem schwarzen Loch endet. Von Eskalation kann schon gar nicht die Rede sein, wenn es niemanden gibt, den man kontaktieren könnte und man als zahlender Kunde einfach ignoriert wird. Selbst so erlebt sogar bei z.B. Microsoft und Nvidia. Wie der Dumme im Regen, bezahlt wurde ja schon, wozu dann noch antworten? Wie soll da eine Eskalation gemacht werden, wenn es Null Möglichkeit gibt zu kontaktieren? Soll man persönlich vor Ort mal klingeln bei der Bude? Nicht jeder hat seine eigene Website mit Reichweite und Tragweite. Das ist eine ernst gemeinte Frage.

Antwort 5 Likes

komatös

Veteran

104 Kommentare 78 Likes

Das ist nicht die einzige Schweinerei, die bei Booking.com läuft.
Wer mag. bitte dem nachfolgenden Link folgen:

Antwort 2 Likes

Arnonymious

Veteran

194 Kommentare 75 Likes

Da kann ich auch meinen Senf dazu geben. Ende letzten oder Anfang diesen Jahres hatte ich ähnliche Mails im Postfach. Habe mich daraufhin erstmal bei booking.com eingeloggt und als ich sah, dass das in meinem Konto tatsächlich als gebucht stand, habe ich ebenfalls das Hotel kontaktiert und denen mitgeteilt, dass ich keine Buchung getätigt habe. Ich meine damals auch noch eine Mail an booking geschickt zu haben, müsste aber schauen ob ich diese noch finde.
Eine Bekannte arbeitet bei booking, aber die konnte, wollte oder durfte mir damals keine Auskunft geben.

Antwort Gefällt mir

DigitalBlizzard

Urgestein

2,242 Kommentare 1,113 Likes

Es ist doch ein leichtes, auf das Datensystem von Booking einen entsprechende Schadsoftware zu installieren die mitliest oder weiterverlinkt, oder einfach nur gewissen Daten kopiert.
Die zieht dann alle aktuellen Vorgänge immer schön durch, kopiert Kunden und Zahldaten, und irgendwo in Russland oder Nordkorea, macht man sich die Taschen voll.

Woher weißt denn, welchen Sicherheitsstandards Booking.com mit Echtzeitschnittstellen in Hülle und Fülle hat!? Wo deren Server sitzen usw!?

Ist doch ein echt einfaches Ziel, eine Website die quasi stündlich Millionen Echtzeitdaten von Hotels, Fluggesellschaften usw. aktualisiert.
Da sins Hotels weltweit dabei, mit Sicherheit auch welche in eher schwierigen Ländern.
Wenn ein guter Scammer da die Daten zur Leistung seines Hotels einreicht, mit entsprechenden Schadcodes in den Bildern, Excel oder einfach via Uplink zur Echtzeit Abfrage etwas installiert, hat Booking das im System.
Oder glaubst Du ernsthaft das Dorfhotel Hintertupfing leistet sich eine hochgesicherte Website und Domain.
Da schleust erst da was ein, und Booking zieht das unbemerkt auf seine Server

Das passiert den Besten.
Im Prinzip müsste Booking sofort offline gehen, alles geprüft und bereinigt werden, aber das kostet Millionen, das wird nicht passieren.

Ich gehe davon aus, sorry Igor, dass Deine Kreditkartendaten nebst allen anderen Daten bereits irgendwo in Russland oder Asien bereits im Handel sind.

Antwort 1 Like

Klicke zum Ausklappem
DigitalBlizzard

Urgestein

2,242 Kommentare 1,113 Likes

Hier kann sich jeder seine 5000€ abholen, deren Provider gegen den Datenschutz verstoßen hat.

Datenweitergabe, Datenlecks, Phishing etc ist der neue heiße Scheiß.
Telekom wurde gehackt, Western Digital, überall wurden die Daten angegriffen, außer eine "sorry dafür" Pressemitteilung ist aber nix passiert

Ich zahle Online ausschließlich mit PayPal und extra für PayPal habe ich mir ein extra Girokonto eingerichtet, auf dem nichts anderes Stattfindet als PayPal, selbst PayPal hat keine Kreditkartendaten oder Daten von meinem regulären Konto.
Nennt mich paranoid....

Ich suche mir auf Booking auch maximal das Hotel raus und buche dort prinzipiell telefonisch, den gleichen oder sogar besseren Preis bekomme ich auch immer, weil das Hotel dann auch keine Gebühr an Booking abdrücken muss, da bin ich eisern.

Antwort 3 Likes

Klicke zum Ausklappem
Lagavulin

Veteran

233 Kommentare 189 Likes

Ein Problem ist auch, dass viele Online-Händler und einige Finanzdienstleister in ihren E-Mails an den Kunden einen Link zur Anmeldeseite einfügen. Das ist in meinen Augen grob fahrlässig, weil es bei den Kunden zu einem Gewöhnungseffekt führt – viele klicken dann halt einfach den Link an.Der kundige Nutzer prüft natürlich vorher die URL, aber viele machen das halt nicht und laufen dann bei gut gemachten Phishing-Angriffen in die Falle.
Ich predige seit Jahren in meinem Umfeld, dass man sich immer nur über ein Bookmark anmelden soll, aber da fühlt man sich dann irgendwann wie der einsame Rufer in der Wüste.

Antwort 1 Like

DigitalBlizzard

Urgestein

2,242 Kommentare 1,113 Likes

Angreifbar bist am Besten da, wo Bequemlichkeit und Gewöhnung Vorrang gewährt wird.
Wer entscheidet denn, welche Website wirklich sicher ist, echte Vorschriften gibt es dafür noch lange nicht, der Brandschutz und die Arbeitssicherheit wird gefühlt wöchentlich in jedem noch so kleinen Betrieb geprüft, Websicherheit ist gesetzlich nicht geregelt.
Die Scheiße kann Dir, wie erlebt, auch bei Telekom und co passieren.

Der einzige der einen davor schützen kann, ist man selbst.
Im Netz so wenig Daten wie möglich rausrücken.
Außer meiner Adresse und meiner Mail-Adresse und meiner PayPal Adresse, gibt's im Netz keine Daten von mir, wer Kreditkartendaten von mir will, kann mich am Arsch lecken, die gibt's nur live im Laden mit der physischen Karte.

Antwort Gefällt mir

Lagavulin

Veteran

233 Kommentare 189 Likes

Wenn ein Black Hat erfolgreich in den Server eines Online-Händlers eindringt und meine Kreditkartendaten abgreift, gibt es als letzte Verteidigungslinie nur noch die Betrugserkennung (Fraud Detection & Prevention) beim Kreditkartenanbieter. Und im Schadensfall, d.h. wenn jemand meine Kreditkartenkarten missbräuchlich verwendet, wird der Betrag vom Kreditkartenanbieter zurückerstattet. Beide Fälle hatte ich schon.

Wie sieht das aber aus, wenn man auf einen Phishing-Angriff hereinfällt, den man ja selbst hätte verhindern können. Mir fehlen die juristischen Kenntnisse, ich frage mich aber, ob man nicht für den Schaden einer missbräuchlichen Verwendung der Kreditkarte selbst aufkommen muss, wenn man bei einem Phishing-Angriff per E-Mail auf einen Link klickt und seine Kartendaten preisgibt. Und wie sieht das aus, wenn man nicht die Website sondern die App eines Anbieters nutzt - ist dann der Anbieter in der Pflicht und muss den Schaden tragen?

Antwort Gefällt mir

DigitalBlizzard

Urgestein

2,242 Kommentare 1,113 Likes

Tja, das wird dann wohl vor Gericht eine Einzelfallentscheidung, solange es einzelne Nutzer betrifft, wird der Websitebetreiber wohl Kulant sein, weil große Negativpresse nicht erwünscht ist.
Wenn's aber tausende Kunden betrifft, werden die jeden rechtlichen Winkelzug ausloten lassen, um da rauszukommen

Antwort Gefällt mir

T
TheSmart

Veteran

422 Kommentare 213 Likes

Bei Inlandsbuchungen verzichte ich liebend gerne komplett auf die Kreditkarte und bezahle das Ganze dann vor Ort bar.
Ich suche mir auch nur Hotels, wo man bar bezahlen kann.
Dann hat man diese ganzen Problemen einfach nicht mehr.

Bei Auslandsaufenthalten ist dies natürlich dann nicht immer ganz so einfach. Wobei es aber auch da meistens Zahlungsmöglichkeiten gibt, die nicht über die Kreditkarte laufen.
Zu viele wollen unbedingt an die Daten der Kreditkarte kommen und ja es ist auch durchaus komfortabel alles über die Kreditkarte über die Kreditkarte laufen zu lassen.
Aber wie schon oben von einem geschrieben.. alles wird mittlerweile geoutsourced.. und diese Dienstleister sind dann meist it-mässig stark anfällig..werden gehackt.,. und wenn man Pech hat, haben die auch einen Gastzugang zu den Hauptsystem der Anbieter.. und zack.. Kreditkartendaten sind weg..und man weiß von ncihts.. bis am Ende des Monats die böse Überraschung kommt.
Oder man bekommt so seltsame Mails.

Antwort Gefällt mir

Danke für die Spende



Du fandest, der Beitrag war interessant und möchtest uns unterstützen? Klasse!

Hier erfährst Du, wie: Hier spenden.

Hier kannst Du per PayPal spenden.

About the author

Igor Wallossek

Editor-in-chief and name-giver of igor'sLAB as the content successor of Tom's Hardware Germany, whose license was returned in June 2019 in order to better meet the qualitative demands of web content and challenges of new media such as YouTube with its own channel.

Computer nerd since 1983, audio freak since 1979 and pretty much open to anything with a plug or battery for over 50 years.

Follow Igor:
YouTube Facebook Instagram Twitter

Werbung

Werbung