Damit man sich im Urlaub auch der vollständigen Entspannung hingeben kann, bedarf es einer guten Vorbereitung. Viele buchen Unterkunft, Anreise und im besten Fall auch den Mietwagen bereits Monate vor der Abfahrt. So kann kaum noch etwas schiefgehen, denkt man.
Weil die allermeisten diese Vorbereitungen aber mittlerweile online statt in einem Reisebüro in der Fußgängerzone treffen, bleibt durchaus ein Restrisiko vor der Reise bestehen. Denn auch vermeintlich sichere Buchungsplattformen wie Booking.com können keine hundertprozentige Sicherheit bieten.
So erhielten Gäste des V8 Hotels im baden-württembergischen Böblingen Anfang des Jahres jüngst eine Mail im Namen des Hotels, versandt von Betrüger:innen. Wie "Zeit online" berichtet, hatten diese sich unbemerkt Zugang zum Extranet von Booking.com verschafft.
Hoteliers verwalten über dieses Extranet die Buchungen, die über Booking.com getätigt wurden. Zusätzlich können sie mit den Gästen dort kommunizieren oder notwendige Dokumente austauschen. Nachdem ein Mitarbeitender des V8 Hotels eine Phishing-Mail geöffnet hatte, konnten allerdings auch Cyberkriminelle hier mitlesen und schreiben.
Einige Nutzer:innen von Booking enthielten daraufhin Nachrichten, in denen vor angeblichen Fehlern bei der Buchung hingewiesen wurde. Einige von ihnen wurde um eine Anzahlung gebeten. Wie gewohnt bei Phishing-Angriffen war ein externer Link beigefügt. Getätigte Zahlungen verschwanden im Äther.
Der Geschäftsführer des Hotelverbands Deutschland (IHA) Tobias Warnecke bezeichnet das Extranet von Booking als die "Achillesferse der Branche". Trotz Zwei-Faktor-Authentifizierung fehle es dem System noch immer an Professionalität.
"Wer Nutzer und Hotelpartner zwingt, ausschließlich über das plattformeigene Extranet zu kommunizieren, der muss auch entsprechende Standards gewährleisten", sagt Warnecke.
Er kritisiert in diesem Zusammenhang die Funktionalität eines bereits vorhandenen Überwachungsmechanismus im Booking-Extranet. Selbst bei einer betrügerischen Nachricht mit Schlagwörtern wie "Buchung verfallen" oder "Kreditkartendetails" gebe es demnach keine automatische Warnung.
Booking selbst sieht sich nicht in der Verantwortung. Auf Anfrage von "Zeit online" argumentiert das Unternehmen, dass der Phishing-Angriff nicht auf die Plattform selbst, sondern auf einzelne Hotelkunden erfolgt sei.
Im Betrugsfall verschickt der Anbieter entsprechende Warnungen an potenziell Betroffene. Haben Nutzer:innen aber bereits auf externe Links geklickt, müssen sie für etwaige Schäden selbst aufkommen.
Dem IHA zufolge liegen allein aus dem vergangenen Jahr mehr als 100 Meldungen über Phishing-Angriffe auf Hotels vor. Booking.com gibt an, insgesamt 250.000 betrügerische Nachrichten im eigenen Netzwerk aufgespürt und identifiziert zu haben. Im Vergleich zum Vorjahr sind das deutlich weniger.
