Viele Handels- und Buchungsplattformen warnen ihre Kunden davor, dass die Kommunikation zwischen Käufer und Verkäufer außerhalb der vorgesehenen Kanäle wie Chatfunktionen geführt werden. Doch was ist, wenn Betrüger ausgerechnet die interne Chatfunktion von Booking.com nutzen und vermeintlich im Namen des gebuchten Hotels eine Anzahlung einfordern?

Der genannte Anbieter ist einer der weltweit größten Vermittler von Hotelzimmern und hat mittlerweile einen so hohen Marktanteil, dass Kritiker von einer marktbeherrschenden Stellung sprechen. Booking.com hatte bislang den Ruf eine sichere Plattform für die Buchung von Unterkünften zu sein. Das hat durchaus auch seinen Preis, denn die Anbieter müssen durchaus stattliche Provisionen abführen. Hinsichtlich der Sicherheit scheint das in Amsterdam ansässige Unternehmen aber so einiges an Nachholbedarf haben, denn Betrügern gelingt es offenbar Accounts von Hotels zu kapern. Das Ziel ist, dass Kreditkartendaten von Kunden abgefangen und in betrügerischer Absicht genutzt werden können.

In einem Aviation.Direct vorliegenden Fall hat ein Urlauber aus Österreich ein Hotelzimmer für seinen Winterurlaub auf den Malediven über Booking.com gebucht. Es handelt sich um ein gehobenes Haus in der Fünf-Sterne-Kategorie. Auf der Buchungsbestätigung des Vermittlers wird darauf hingewiesen, dass sich die Unterkunft vorbehält eine Vorautorisierung der Kreditkarte vorzunehmen.

Betrüger nutzen offizielle Chatfunktion

Konkret bedeutet das, dass das Hotel das Zahlungsmittel vorab „belasten“ kann. Der vereinbarte Betrag in Landeswährung wird dann temporär blockiert. Gerade Häuser der gehobenen Kategorie testen so, ob die hinterlegte Kreditkarte gültig und ausreichend gedeckt ist. Sofern man keine Push-Benachrichtigungen von der Bank bekommt, dann geschieht dieser Vorgang im Hintergrund. Passt alles, dann kommt es zu keiner weiteren Kontaktaufnahme durch das Hotel und der Betrag wird dann – wie bei der Buchung vereinbart – entweder vorab zu einem bestimmten Zeitpunkt abgebucht. Wenn man „Zahlung in der Unterkunft“ vereinbart hat, bezahlt man je nach Hotel erst beim Check-in oder Check-out.

Aus den verschiedensten Gründen kann es vorkommen, dass sowohl Zahlungen als auch bloße Vorautorisierungen („Blocken“) abgelehnt werden. Die einfachsten Ursachen: Karte gesperrt, Verfügungsrahmen zu klein oder einfach ein kurzes technisches Problem. Manchmal geht es beim zweiten Versuch problemlos und niemand weiß so genau warum es auf Anhieb nicht geklappt hat.

Auch ist es nicht gerade ungewöhnlich, dass gerade bessere Hotels eine Anzahlung im Vorfeld verlangen. Die Häuser haben eben so ihre Erfahrungen, denn das Einfordern von Zahlungen von No-Show-Gästen kann grenzüberschreitend sehr kompliziert werden. Aber genau auf dieses „ist so üblich“ basiert die Betrugsmasche, mit der Kunden von Booking.com um ihr Geld gebracht werden sollen.

Das Perfide daran ist: Die Betrüger nutzen das offizielle Nachrichten- und Chatsystem von Booking.com und geben sich darin als Mitarbeiter jenes Hotels, bei dem man tatsächlich ein Zimmer gebucht hat aus. Man müsse die Kreditkarte vorautorisieren, da andernfalls die Reservierung storniert werden müsse. Man solle die Daten über einen Link aktualisieren.

Booking.com-Mitarbeiter erkennt Betrug nicht und rät zur Zahlung

Wenn es sich um eine externe Seite handeln würde, dann würden wahrscheinlich bei so ziemlich jedem aufmerksamen Reisenden sofort die Alarmglocken läuten. Das wissen auch die Betrüger und deshalb handelt es sich ernsthaft um einen echten Link zum Booking.com Zahlungssystem, über das Zahlungen an das Hotel getätigt werden können oder aber die Daten der hinterlegten Kreditkarte aktualisiert werden können. Soll ja vorkommen, dass man die Bank wechselt oder bis zur Reise die Karte einfach nur abläuft und man den „Nachfolger“ hinterlegen muss. Da die Nachricht scheinbar vom Hotel über das offizielle Nachrichten- und Chatsystem von Booking.com stammt und der Link ebenfalls die Buchungsplattform nicht verlässt, scheint alles in Ordnung zu sein.

Der reiseerfahrene Österreicher war dennoch misstrauisch und nahm mit dem Kundenservice von Booking.com telefonisch Kontakt auf. Der Agent nahm Einsicht in den Chat und versicherte dem Kunden in gebrochenem Deutsch, dass alles so seine Richtigkeit habe und er solle die Forderung des Hotels bezahlen. Alles echt, alles stammt vom Hotel über Booking.com.

Wenn also die Plattform selbst bestätigt, dass alles richtig ist, dann muss es doch so sein? Leider nein, denn kurz nach der Eingabe der Kartendaten erhielt der Reisende gleich mehrere Push-Nachrichten, in denen Card Complete als Issuer der Mastercard mitgeteilt hat, dass Transaktionen abgelehnt wurden. Scheinbar haben das auch die Betrüger mitbekommen, denn diese fordern just über das Booking.com Chatsystem die Eingabe einer weiteren Kreditkarte und drohen mit der Stornierung der Buchung. Der Booking.com-Kunde konterte dann, dass das Hotel ihn doch bitte anrufen solle…. Der Kontakt riss sofort ab.

Card-Complete-Sicherheitssystem verhinderte finanziellen Schaden

Dem Mann dämmerte, dass irgendwas nicht stimmen könne und kontaktiere zunächst die Notfallhotline von Card Complete. Zunächst dachte er noch an ein technisches Problem als Ursache für die Ablehnung der vermeintlichen Vorautorisierung, doch der Bankmitarbeiter informierte dann darüber, dass das Sicherheitssystem zugeschlagen habe, da versucht wurde in Nigeria rund 6.000 Euro abzubuchen und noch dazu die Karte binnen weniger Momente in gleich mehreren Google-Pay-Konten hinterlegt wurde. Dabei hat der Kunde gar kein Android-Smartphone, sondern ein iPhone. Jedenfalls haben die Systeme von Card Complete den Betrugsversuch richtig erkannt und zum Schutz des Karteninhabers die Mastercard sofort gesperrt. Die Betrüger, die vermutlich von Nigeria aus agieren, konnten keinen Cent erbeuten. Das dürfte wohl der Grund dafür sein, weshalb unter Androhung der Stornierung der Reservierung versucht wurde noch eine zweite Kreditkarte einzufordern.

Ein sofortiger Anruf des Reisenden beim Fünf-Sterne-Hotel auf den Malediven, das einer bekannten, international tätigen Kette angehört, ergab, dass niemand vom Haus mit dem Kunden über Booking.com kommuniziert haben kann, weil die Rezeption gar keinen Zugriff auf den Account hat, sondern lediglich die Reservierungsabteilung und die ist am Wochenende gar nicht besetzt. Im Nachgang bestätigte der Beherbergungsbetrieb per E-Mail direkt an den Reisenden, dass die Nachrichten und Zahlungsaufforderungen nicht vom Hotel verschickt wurden. Man entschuldigt sich, aber scheinbar kommt es noch dicker, denn die Unterkunft auf den Malediven schreibt, dass man von vielen Kunden Beschwerden über solche Nachrichten samt Zahlungsaufforderungen bekommen habe. Alle samt am vergangenen Wochenende. Man weiß noch nicht wie das überhaupt möglich war.

Zwei Tage später: Booking.com-Callcenter hält den Betrugsversuch für „echt“ und man solle bezahlen

Also telefonierte der Österreicher wieder mit Booking.com. Erst auf Hinweis, dass die Bank einen Betrugsversuch aus Nigeria erkannt habe, räumte die Dame ein, dass da etwas nicht stimmen könnte. Die Sicherheitsabteilung von Booking.com werde sich umgehend melden. Jedenfalls solle man nichts anklicken und nichts eingeben. Auf den Hinweis, dass ihr Kollege gesagt habe, dass alles echt wäre, ging sie nicht weiter ein. Auf den versprochenen Rückruf der Fachabteilung wartet der Reisende noch immer.

Zwei Tage später hatte sich noch niemand vom Vermittlungsportal gemeldet, also spannte sich der Reisende selbst hinters Telefon und bekam vom Call-Center-Agent eine unfassbare Auskunft. Obwohl mittlerweile klar und deutlich war, dass ein Betrugsversuch über das Booking.com-Chat- und Bezahlungsversucht erfolgte, pochte dieser Mitarbeiter darauf, dass alles echt wäre und alles so seine Richtigkeit habe. Er riet ihm gar dazu die Zahlung über Kreditkarte zu leisten. Dieses Telefonat dürfte wohl das Vertrauen endgültig zerstört haben.

Card Complete warnt – Booking.com ignoriert Medien- und Kundenanfragen

Bemerkenswert ist, dass ein schweizerisches Medium bereits im Juli 2023 von einem Betrugsversuch, der sich mit den Erlebnissen des Österreichers fast deckt, berichtet hat. Die Medienstelle von Booking.com ging inhaltlich nur wenig auf die Recherchen des Portals ein und wollte insbesondere keine näheren Angaben zur Häufigkeit von Betrugsversuchen und Sicherheitsmaßnahmen machen. Im Hinblick darauf, dass Booking.com allerspätestens durch die Recherchen des schweizerischen Portals von den Sicherheitsproblemen erfahren haben muss, erscheint es äußerst fraglich, warum sich sowas im September 2023 nicht nur wiederholen kann, sondern gleich zwei Mitarbeiter des Unternehmens die Echtheit bestätigen und zur Zahlung raten.

Beispielsweise mit dieser Frage wurde die Pressestelle von Booking.com unter Vorlage der vom Reisenden zur Verfügung gestellten Screenshots konfrontiert. Trotz mehrfacher Erinnerung reagierte der Hotelzimmervermittler auf die Fragen überhaupt nicht. Offensichtlich spricht man nicht gerne über offensichtliche Sicherheitslücken, die von Betrügern zu Lasten von Kunden und Hotels ausgenutzt werden können. Der betroffene Kunde wartet übrigens noch immer auf den versprochenen Rückruf der Sicherheitsabteilung von Booking.com und hat auch sonst keine weitere Rückmeldung vom Unternehmen erhalten.

Der Kreditkartenaussteller Card Complete hat mittlerweile eine Warnung an die Kunden herausgegeben. In dieser warnt man explizit vor der Betrugsmasche, die über offizielle Kommunikationswege von Booking.com versucht wird. Das Unternehmen ruft die Kunden dazu auf, dass man keine solchen Transaktionen freigegeben soll und eventuelle Telefonate und/oder Chats sofort beendet werden sollen. Falls man schon reingefallen ist, solle man sich so schnell wie möglich mit der Hotline von Card Complete in Verbindung setzen.