Normalerweise bin ich immun gegen das ganze Phishing-Zeug, was einen täglich per Mail erreicht. Aber wie würdet Ihr reagieren, wenn Ihr über Booking.com eine Buchung getätigt habt, diese auch bestätigt wurde und eine Woche später per App und auch auf der Webseite in der Kommunikation ein offensichtlicher Phishing-Versuch stattfindet, den man aber erst auf den zweiten Blick als solchen erkennt? Noch einmal, die Nachricht kam nicht per Mail, sondern direkt über die App und man finden den Inhalt auch im Nachrichtenverlauf mit dem Hotel auf der Webseite. Natürlich habe ich erst einmal im Hotel angerufen, warum ich meine Kreditkarte noch einmal verifizieren sollte und die Kollegin am Desk meinte, ich wäre schon der Zweite in den letzten 10 Minuten. Sie wüsste auch nicht, was sie jetzt machen solle. Ich schon und ich habe es ihr auch lang und breit erklärt.
Ich habe versucht Booking.com zu erreichen, aber es gibt noch nicht einmal eine deutsche Support-Hotline. Nur Chatbots und Kontaktformulare. Natürlich habe ich es auch schriftlich reportet, aber es kam: nichts. Mir ist es bei Booking.com schon öfters mal passiert, dass irgendwelche Systemmeldungen in Englisch kamen, obwohl man als deutscher Kunde eingeloggt ist, deshalb hat mich das auch nicht weiter getriggert, aber ich fand es schon komisch. Ich habe hier erst einmal den kompletten Nachrichtenverlauf von der Booking.com Webseite. Und bitte mal gebnau auf den Inhalt achten da muss man schon stutzig werden 😀
Dir Reaktion des Hotel kam nach einer reichlichen Stunde, nachdem ich selbst noch ein wenig mit der Seite rumexperimentiert hatte. Der über die Plattform Booking.com verschickte Link führte zu einer Seite, deren Domain in der URL über Gibraltar registriert wurde und die auf dem GoDaddy Webbaukastensystem basierte. Ich habe sowohl Booking.com, das Hotel als auch GoDaddy schriftlich informiert und zumindest GoDaddy hat reagiert und die Seite mittlerweile offline genommen.
Allerdings stellen sich mir zwei Fragen, die einem weder Booking.com noch das Hotel beantworten wollten:
- Wie gelingt ein Scammer an meine internen Buchungsdaten bei Booking.com, also vom Reisedatum und der Adresse bis hin zum Preis? Dass nur die IT-Infrastruktur von Best Western infiltriert wurde, ist eher unwahrscheinlich, aber sicher nicht ausgeschlossen. Nur wer macht sich so viel Arbeit für nur ein Hotel bzw. eine Kette? Außerdem zeigte diese Seite den richtigen Preis von Booking.com zum Zeitpunkt des Versendens, nicht jedoch meine individuelle und rabattierte Summe? Deshalb tippe ich eher auf das Buchungsportal als direkten Versender.
- Wie ist es überhaupt möglich, dass ein Scammer im Namen des Hotels Nachrichten direkt über die Plattform an die Kunden verschicken kann? Da dürfte im Sicherheitskonzept eine Lücke klaffen, die mindestens so groß und tief ist wie der Bodensee. Wer das mit der App liest, wie von Booking.com präferenziert, sieht auch keine weiterführenden URLs und vertraut dem Anbieter mit etwas Pech leider blind. Was ja wohl auch die Absicht war.
Immerhin ist die Verifizierungs-Abfrage ein sicheres Zeichen dafür, dass bei Booking.com wohl keine Kreditkartendaten gestohlen wurde, sonst hätte man sich den Aufwand nicht machen müssen. Allerdings wirft die Handhabung, auch in der Kommunikation mit dem Kunden, jede Menge Fragen über die Seriosität der Beteiligten auf und ein schlechtes Licht auf deren IT. Und wer haftet eigentlich für etwaige Vermögensschäden?
Und was tun, wenn man doch geklickt hat?
Ich habe gestern noch mit meinem Kreditkarteninstitut gesprochen und die Rechtslage ist da durchaus einigermaßen verzwickt. Um eventuelle unberechtigte Buchungen rückabzuwickeln bzw. Ersatz zu erhalten, ist die Hürde schon recht hoch, denn der Kunde ist leider in der Beweispflicht. Also besser vorbeugend die betroffene Karte sperren lassen. Ein Tipp, den ich seit Jahren verfolge ist der, alle Abbuchungen aus dem Ausland generell verifizieren zu lassen, egal bei welcher Summe. Dann geht ohne die explizite Freigabe via Banking-App überhaupt nichts. Falls das Kreditkarteninstitut das nicht anbietet: wechseln.
Generell sollte man Screenshots anfertigen oder besser gleich gar nicht direkt reagieren, sondern zumindest erst einmal das Hotel oder den Veranstalter kontaktieren. Booking.com ist ein stummer Moloch, der leider nicht sofort reagiert. Pech hat man immer dann, wenn am anderen Ende des Telefons jemand sitzt, der mit solchen Problemen komplett überfordert ist. Dann muss man als Kunde schon die Eskalationsstufe erhöhen, was ich bekannterweise ja gern mache. Unterm Strich bin ich sicher noch einmal davongekommen, aber wer klickt sich nicht doch schnell mal durch solche Aufforderungen, wenn der Reisetermin nahe liegt und solche Korrespondenzen direkt vom Anbieter in einer offiziellen App kommen?
Wo die Lücke jetzt genau liegt, will leider keiner sagen und wie hoch den potentielle Schaden ist, leider auch nicht. Aber vielleicht stößt ja noch jemand anderes drauf, der mehr Glück beim Einsammeln von Informationen hatte als ich. Dann gibt es ein Update.
40 Antworten
Kommentar
Lade neue Kommentare
Veteran
Urgestein
1
1
Mitglied
Veteran
Veteran
Mitglied
Neuling
Urgestein
Veteran
Veteran
Urgestein
Urgestein
Veteran
Urgestein
Veteran
Urgestein
Veteran
Alle Kommentare lesen unter igor´sLAB Community →