News Redaktion

Warnung: Perfide neue Scam-Methode bei Booking.com und keiner will schuld sein

Normalerweise bin ich immun gegen das ganze Phishing-Zeug, was einen täglich per Mail erreicht. Aber wie würdet Ihr reagieren, wenn Ihr über Booking.com eine Buchung getätigt habt, diese auch bestätigt wurde und eine Woche später per App und auch auf der Webseite in der Kommunikation ein offensichtlicher Phishing-Versuch stattfindet, den man aber erst auf den zweiten Blick als solchen erkennt? Noch einmal, die Nachricht kam nicht per Mail, sondern direkt über die App und man finden den Inhalt auch im Nachrichtenverlauf mit dem Hotel auf der Webseite. Natürlich habe ich erst einmal im Hotel angerufen, warum ich meine Kreditkarte noch einmal verifizieren sollte und die Kollegin am Desk meinte, ich wäre schon der Zweite in den letzten 10 Minuten. Sie wüsste auch nicht, was sie jetzt machen solle. Ich schon und ich habe es ihr auch lang und breit erklärt.

Ich habe versucht Booking.com zu erreichen, aber es gibt noch nicht einmal eine deutsche Support-Hotline. Nur Chatbots und Kontaktformulare. Natürlich habe ich es auch schriftlich reportet, aber es kam: nichts. Mir ist es bei Booking.com schon öfters mal passiert, dass irgendwelche Systemmeldungen in Englisch kamen, obwohl man als deutscher Kunde eingeloggt ist, deshalb hat mich das auch nicht weiter getriggert, aber ich fand es schon komisch. Ich habe hier erst einmal den kompletten Nachrichtenverlauf von der Booking.com Webseite. Und bitte mal gebnau auf den Inhalt achten da muss man schon stutzig werden 😀

Dir Reaktion des Hotel kam nach einer reichlichen Stunde, nachdem ich selbst noch ein wenig mit der Seite rumexperimentiert hatte. Der über die Plattform Booking.com verschickte Link führte zu einer Seite, deren Domain in der URL über Gibraltar registriert wurde und die auf dem GoDaddy Webbaukastensystem basierte. Ich habe sowohl Booking.com, das Hotel als auch GoDaddy schriftlich informiert und zumindest GoDaddy hat reagiert und die Seite mittlerweile offline genommen.

Allerdings stellen sich mir zwei Fragen, die einem weder Booking.com noch das Hotel beantworten wollten:

  1. Wie gelingt ein Scammer an meine internen Buchungsdaten bei Booking.com, also vom Reisedatum und der Adresse bis hin zum Preis? Dass nur die IT-Infrastruktur von Best Western infiltriert wurde, ist eher unwahrscheinlich, aber sicher nicht ausgeschlossen. Nur wer macht sich so viel Arbeit für nur ein Hotel bzw. eine Kette? Außerdem zeigte diese Seite den richtigen Preis von Booking.com zum Zeitpunkt des Versendens, nicht jedoch meine individuelle und rabattierte Summe? Deshalb tippe ich eher auf das Buchungsportal als direkten Versender.
  2. Wie ist es überhaupt möglich, dass ein Scammer im Namen des Hotels Nachrichten direkt über die Plattform an die Kunden verschicken kann? Da dürfte im Sicherheitskonzept eine Lücke klaffen, die mindestens so groß und tief ist wie der Bodensee. Wer das mit der App liest, wie von Booking.com präferenziert, sieht auch keine weiterführenden URLs und vertraut dem Anbieter mit etwas Pech leider blind. Was ja wohl auch die Absicht war.

Immerhin ist die Verifizierungs-Abfrage ein sicheres Zeichen dafür, dass bei Booking.com wohl keine Kreditkartendaten gestohlen wurde, sonst hätte man sich den Aufwand nicht machen müssen. Allerdings wirft die Handhabung, auch in der Kommunikation mit dem Kunden, jede Menge Fragen über die Seriosität der Beteiligten auf und ein schlechtes Licht auf deren IT. Und wer haftet eigentlich für etwaige Vermögensschäden?

Und was tun, wenn man doch geklickt hat?

Ich habe gestern noch mit meinem Kreditkarteninstitut gesprochen und die Rechtslage ist da durchaus einigermaßen verzwickt. Um eventuelle unberechtigte Buchungen rückabzuwickeln bzw. Ersatz zu erhalten, ist die Hürde schon recht hoch, denn der Kunde ist leider in der Beweispflicht. Also besser vorbeugend die betroffene Karte sperren lassen. Ein Tipp, den ich seit Jahren verfolge ist der, alle Abbuchungen aus dem Ausland generell verifizieren zu lassen, egal bei welcher Summe. Dann geht ohne die explizite Freigabe via Banking-App überhaupt nichts. Falls das Kreditkarteninstitut das nicht anbietet: wechseln.

Generell sollte man Screenshots anfertigen oder besser gleich gar nicht direkt reagieren, sondern zumindest erst einmal das Hotel oder den Veranstalter kontaktieren. Booking.com ist ein stummer Moloch, der leider nicht sofort reagiert. Pech hat man immer dann, wenn am anderen Ende des Telefons jemand sitzt, der mit solchen Problemen komplett überfordert ist. Dann muss man als Kunde schon die Eskalationsstufe erhöhen, was ich bekannterweise ja gern mache. Unterm Strich bin ich sicher noch einmal davongekommen, aber wer klickt sich nicht doch schnell mal durch solche Aufforderungen, wenn der Reisetermin nahe liegt und solche Korrespondenzen direkt vom Anbieter in einer offiziellen App kommen?

Wo die Lücke jetzt genau liegt, will leider keiner sagen und wie hoch den potentielle Schaden ist, leider auch nicht. Aber vielleicht stößt ja noch jemand anderes drauf, der mehr Glück beim Einsammeln von Informationen hatte als ich. Dann gibt es ein Update.

Kommentar

Lade neue Kommentare

Rizoma

Veteran

173 Kommentare 140 Likes

Aua das hätte meine Familie auch treffen können waren erst letzte Woche über Booking 5 Tage im Urlaub ...
Haben allerdings nicht über die App bei Booking sondern nur mit einem Desktop Browser über die Website. Evtl. ist ja auch nur die App kompromittiert. Gab in der Vergangenheit oft Nachrichten über kompromittierte Andriod Apps sogar aus dem offiziellen AppStore.

Antwort Gefällt mir

echolot

Urgestein

1,027 Kommentare 785 Likes

Danke für den Hinweis. Alles wo ständig irgendetwas verifiziert werden muss, ist generell dubios und verdächtig. Das Internet ist ein Shithole!

Antwort 3 Likes

Igor Wallossek

1

10,331 Kommentare 19,156 Likes

Ich schrieb es ja im Artikel:
Die Webseite zeigt exakt das Gleiche und die Screens sind von der offiziellen Webseite. Das ist echt bednklich

Antwort 4 Likes

Igor Wallossek

1

10,331 Kommentare 19,156 Likes

Naja, ich hatte das ja kürzlich erst, nachdem meine Kreditkarte mal wieder verlängert wurde. CIV und Ablaufdatum neu, also alles und überall neu anmelden bzw. hinterlegen. Deshalb dachte ich zuerst, ich hatte Booking übersehen. Da lobe ich mir die Apple Wallet.

Antwort 3 Likes

T
TRX

Mitglied

60 Kommentare 47 Likes

Eine 30-sekündige Google-Suche zeigt: das Problem besteht schon seit mindestens Mai diesen Jahres. Scheinbar gab es aber damals noch etwas weniger professionell nur WhatsApp-Nachrichten. Dass der Scam über die App von Bookingscom geht, ist neu.

Wahrscheinlich reagiert Booking.com nicht mehr auf diesbezügliche Anfragen, weil sie nach so langer Zeit von dem Thema genervt sind und kein Bock mehr darauf haben. :LOL:

Antwort 3 Likes

Klicke zum Ausklappem
D
Daedalus

Veteran

157 Kommentare 137 Likes

Najo...der liebe Igor hat ja durchaus ein bisschen Reichweite, auch über andere Seiten die ihn regelmäßig zitieren. Von daher wirds wohl bald ne Reaktion geben ;-)

Antwort 2 Likes

ianann

Veteran

337 Kommentare 234 Likes

Wir haben kürzlich auch eine höherpreisige Reise für November bei booking gebucht, die Abwicklung/ Zahlung etc. läuft allerdings glücklicherweise direkt über den Reiseveranstalter. Da bei Servicefragen aber A einen zu B und B wieder zu C verweist, werden wir in Zukunft bei Reisen primär wie früher ein Reisebüro vor Ort ansteuern - bei Problem wird sich dann einfach gekümmert anstatt Verantwortlichkeiten hin- und her zu schieben. Das wird gefühlt immer schlimmer.

Antwort 1 Like

BeamMyup

Mitglied

12 Kommentare 5 Likes

Kommt mir alles bekannt vor, deshalb buche ich immer direkt beim Hotel oder wo auch immer, ohne diesen zwischen Schnickschnack der auch noch meine Daten absaugt und wer weis wo weiter verteilt, aber jedem das seine … :cautious:

Antwort 1 Like

ITSecurityGuy

Neuling

3 Kommentare 6 Likes

Eine 1-minütige Recherche zeigt den Grund, warum Igor (auch) über die App solche Nachrichten bekommen konnte:
Der Dienstleister "Majorel" erledigt komplett den Kundendienst/Support für booking.com.
Und Majorel ist wohl diesen Sommer gehackt worden:

Antwort 5 Likes

Klicke zum Ausklappem
F
Furda

Urgestein

663 Kommentare 371 Likes

"... wenn am anderen Ende des Telefons jemand sitzt, der mit solchen Problemen komplett überfordert ist. Dann muss man als Kunde schon die Eskalationsstufe erhöhen..."

Heute ein sehr grosses Problem, man hat gar keine richtigen Anlaufstellen mehr.
Nur eine FAQ oder ein strunzdummer Chat Bot, aber keinen Echtzeit Chat mit dem Support, oder gar die Möglichkeit anzurufen.
Selbst bei Weltkonzernen ist es so, dass eine Support Anfrage auf Nimmerwiedersehen irgendwo in einem schwarzen Loch endet. Von Eskalation kann schon gar nicht die Rede sein, wenn es niemanden gibt, den man kontaktieren könnte und man als zahlender Kunde einfach ignoriert wird. Selbst so erlebt sogar bei z.B. Microsoft und Nvidia. Wie der Dumme im Regen, bezahlt wurde ja schon, wozu dann noch antworten? Wie soll da eine Eskalation gemacht werden, wenn es Null Möglichkeit gibt zu kontaktieren? Soll man persönlich vor Ort mal klingeln bei der Bude? Nicht jeder hat seine eigene Website mit Reichweite und Tragweite. Das ist eine ernst gemeinte Frage.

Antwort 5 Likes

komatös

Veteran

110 Kommentare 88 Likes

Das ist nicht die einzige Schweinerei, die bei Booking.com läuft.
Wer mag. bitte dem nachfolgenden Link folgen:

Antwort 2 Likes

Arnonymious

Veteran

194 Kommentare 75 Likes

Da kann ich auch meinen Senf dazu geben. Ende letzten oder Anfang diesen Jahres hatte ich ähnliche Mails im Postfach. Habe mich daraufhin erstmal bei booking.com eingeloggt und als ich sah, dass das in meinem Konto tatsächlich als gebucht stand, habe ich ebenfalls das Hotel kontaktiert und denen mitgeteilt, dass ich keine Buchung getätigt habe. Ich meine damals auch noch eine Mail an booking geschickt zu haben, müsste aber schauen ob ich diese noch finde.
Eine Bekannte arbeitet bei booking, aber die konnte, wollte oder durfte mir damals keine Auskunft geben.

Antwort Gefällt mir

DigitalBlizzard

Urgestein

2,242 Kommentare 1,114 Likes

Es ist doch ein leichtes, auf das Datensystem von Booking einen entsprechende Schadsoftware zu installieren die mitliest oder weiterverlinkt, oder einfach nur gewissen Daten kopiert.
Die zieht dann alle aktuellen Vorgänge immer schön durch, kopiert Kunden und Zahldaten, und irgendwo in Russland oder Nordkorea, macht man sich die Taschen voll.

Woher weißt denn, welchen Sicherheitsstandards Booking.com mit Echtzeitschnittstellen in Hülle und Fülle hat!? Wo deren Server sitzen usw!?

Ist doch ein echt einfaches Ziel, eine Website die quasi stündlich Millionen Echtzeitdaten von Hotels, Fluggesellschaften usw. aktualisiert.
Da sins Hotels weltweit dabei, mit Sicherheit auch welche in eher schwierigen Ländern.
Wenn ein guter Scammer da die Daten zur Leistung seines Hotels einreicht, mit entsprechenden Schadcodes in den Bildern, Excel oder einfach via Uplink zur Echtzeit Abfrage etwas installiert, hat Booking das im System.
Oder glaubst Du ernsthaft das Dorfhotel Hintertupfing leistet sich eine hochgesicherte Website und Domain.
Da schleust erst da was ein, und Booking zieht das unbemerkt auf seine Server

Das passiert den Besten.
Im Prinzip müsste Booking sofort offline gehen, alles geprüft und bereinigt werden, aber das kostet Millionen, das wird nicht passieren.

Ich gehe davon aus, sorry Igor, dass Deine Kreditkartendaten nebst allen anderen Daten bereits irgendwo in Russland oder Asien bereits im Handel sind.

Antwort 1 Like

Klicke zum Ausklappem
DigitalBlizzard

Urgestein

2,242 Kommentare 1,114 Likes

Hier kann sich jeder seine 5000€ abholen, deren Provider gegen den Datenschutz verstoßen hat.

Datenweitergabe, Datenlecks, Phishing etc ist der neue heiße Scheiß.
Telekom wurde gehackt, Western Digital, überall wurden die Daten angegriffen, außer eine "sorry dafür" Pressemitteilung ist aber nix passiert

Ich zahle Online ausschließlich mit PayPal und extra für PayPal habe ich mir ein extra Girokonto eingerichtet, auf dem nichts anderes Stattfindet als PayPal, selbst PayPal hat keine Kreditkartendaten oder Daten von meinem regulären Konto.
Nennt mich paranoid....

Ich suche mir auf Booking auch maximal das Hotel raus und buche dort prinzipiell telefonisch, den gleichen oder sogar besseren Preis bekomme ich auch immer, weil das Hotel dann auch keine Gebühr an Booking abdrücken muss, da bin ich eisern.

Antwort 3 Likes

Klicke zum Ausklappem
Lagavulin

Veteran

233 Kommentare 190 Likes

Ein Problem ist auch, dass viele Online-Händler und einige Finanzdienstleister in ihren E-Mails an den Kunden einen Link zur Anmeldeseite einfügen. Das ist in meinen Augen grob fahrlässig, weil es bei den Kunden zu einem Gewöhnungseffekt führt – viele klicken dann halt einfach den Link an.Der kundige Nutzer prüft natürlich vorher die URL, aber viele machen das halt nicht und laufen dann bei gut gemachten Phishing-Angriffen in die Falle.
Ich predige seit Jahren in meinem Umfeld, dass man sich immer nur über ein Bookmark anmelden soll, aber da fühlt man sich dann irgendwann wie der einsame Rufer in der Wüste.

Antwort 1 Like

DigitalBlizzard

Urgestein

2,242 Kommentare 1,114 Likes

Angreifbar bist am Besten da, wo Bequemlichkeit und Gewöhnung Vorrang gewährt wird.
Wer entscheidet denn, welche Website wirklich sicher ist, echte Vorschriften gibt es dafür noch lange nicht, der Brandschutz und die Arbeitssicherheit wird gefühlt wöchentlich in jedem noch so kleinen Betrieb geprüft, Websicherheit ist gesetzlich nicht geregelt.
Die Scheiße kann Dir, wie erlebt, auch bei Telekom und co passieren.

Der einzige der einen davor schützen kann, ist man selbst.
Im Netz so wenig Daten wie möglich rausrücken.
Außer meiner Adresse und meiner Mail-Adresse und meiner PayPal Adresse, gibt's im Netz keine Daten von mir, wer Kreditkartendaten von mir will, kann mich am Arsch lecken, die gibt's nur live im Laden mit der physischen Karte.

Antwort Gefällt mir

Lagavulin

Veteran

233 Kommentare 190 Likes

Wenn ein Black Hat erfolgreich in den Server eines Online-Händlers eindringt und meine Kreditkartendaten abgreift, gibt es als letzte Verteidigungslinie nur noch die Betrugserkennung (Fraud Detection & Prevention) beim Kreditkartenanbieter. Und im Schadensfall, d.h. wenn jemand meine Kreditkartenkarten missbräuchlich verwendet, wird der Betrag vom Kreditkartenanbieter zurückerstattet. Beide Fälle hatte ich schon.

Wie sieht das aber aus, wenn man auf einen Phishing-Angriff hereinfällt, den man ja selbst hätte verhindern können. Mir fehlen die juristischen Kenntnisse, ich frage mich aber, ob man nicht für den Schaden einer missbräuchlichen Verwendung der Kreditkarte selbst aufkommen muss, wenn man bei einem Phishing-Angriff per E-Mail auf einen Link klickt und seine Kartendaten preisgibt. Und wie sieht das aus, wenn man nicht die Website sondern die App eines Anbieters nutzt - ist dann der Anbieter in der Pflicht und muss den Schaden tragen?

Antwort Gefällt mir

DigitalBlizzard

Urgestein

2,242 Kommentare 1,114 Likes

Tja, das wird dann wohl vor Gericht eine Einzelfallentscheidung, solange es einzelne Nutzer betrifft, wird der Websitebetreiber wohl Kulant sein, weil große Negativpresse nicht erwünscht ist.
Wenn's aber tausende Kunden betrifft, werden die jeden rechtlichen Winkelzug ausloten lassen, um da rauszukommen

Antwort Gefällt mir

T
TheSmart

Veteran

422 Kommentare 213 Likes

Bei Inlandsbuchungen verzichte ich liebend gerne komplett auf die Kreditkarte und bezahle das Ganze dann vor Ort bar.
Ich suche mir auch nur Hotels, wo man bar bezahlen kann.
Dann hat man diese ganzen Problemen einfach nicht mehr.

Bei Auslandsaufenthalten ist dies natürlich dann nicht immer ganz so einfach. Wobei es aber auch da meistens Zahlungsmöglichkeiten gibt, die nicht über die Kreditkarte laufen.
Zu viele wollen unbedingt an die Daten der Kreditkarte kommen und ja es ist auch durchaus komfortabel alles über die Kreditkarte über die Kreditkarte laufen zu lassen.
Aber wie schon oben von einem geschrieben.. alles wird mittlerweile geoutsourced.. und diese Dienstleister sind dann meist it-mässig stark anfällig..werden gehackt.,. und wenn man Pech hat, haben die auch einen Gastzugang zu den Hauptsystem der Anbieter.. und zack.. Kreditkartendaten sind weg..und man weiß von ncihts.. bis am Ende des Monats die böse Überraschung kommt.
Oder man bekommt so seltsame Mails.

Antwort Gefällt mir

Danke für die Spende



Du fandest, der Beitrag war interessant und möchtest uns unterstützen? Klasse!

Hier erfährst Du, wie: Hier spenden.

Hier kannst Du per PayPal spenden.

About the author

Igor Wallossek

Chefredakteur und Namensgeber von igor'sLAB als inhaltlichem Nachfolger von Tom's Hardware Deutschland, deren Lizenz im Juni 2019 zurückgegeben wurde, um den qualitativen Ansprüchen der Webinhalte und Herausforderungen der neuen Medien wie z.B. YouTube mit einem eigenen Kanal besser gerecht werden zu können.

Computer-Nerd seit 1983, Audio-Freak seit 1979 und seit über 50 Jahren so ziemlich offen für alles, was einen Stecker oder einen Akku hat.

Folge Igor auf:
YouTube   Facebook    Instagram Twitter

Werbung

Werbung