Phishing-Betrüger haben in jüngster Zeit verstärkt die interne Kommunikationsplattform von Booking.com missbraucht, um an Zahlungsdaten von Reisenden zu gelangen. Dabei kompromittieren die Angreifer zunächst die Konten von Hotelpartnern, um anschließend über das vertrauenswürdige Nachrichten- und E-Mail-System von Booking.com täuschend echte Mitteilungen an Gäste zu versenden. Diese Nachrichten scheinen vom gebuchten Hotel oder von Booking.com selbst zu stammen und enthalten oft alle korrekten Buchungsdetails – ein Umstand, der es Opfern enorm erschwert, den Betrug zu erkennen.
Erste Fälle und Vorgehensmuster (Anfang 2023): Bereits seit mindestens März 2023 häufen sich Berichte über derartige Phishing-Maschen. In Online-Foren wie Reddit meldeten sich Betroffene, die verdächtige Nachrichten über die Booking.com-Plattform erhielten. Typischerweise erhalten Gäste kurz nach einer Reservierung eine offiziell wirkende Nachricht (bzw. E-Mail) über Booking.com mit der dringenden Aufforderung, Kreditkartendaten zur Verifizierung erneut einzugeben.
Wachsende Fallzahlen und breite Öffentlichkeit (Herbst 2023): Im Laufe des Jahres 2023 nahm das Ausmaß stark zu. So berichtete der Guardian im Oktober 2023 von einer Welle nahezu identischer Scam-Nachrichten. Mehrere Leser schilderten, dass die E-Mails scheinbar legitimerweise von Booking.com kamen.
Ende 2023 bestätigten mehrere Cybersecurity-Unternehmen die systematische Kampagne. Der Sicherheitsdienstleister SecureWorks fand heraus, dass eine professionell agierende Bande Hotels gezielt mit Malware infiziert und so deren Booking.com-Login erbeutet. Die dabei eingesetzte Schadsoftware wird in E-Mails an Hotelmitarbeiter versteckt.
Booking.com hat auf die Vorfälle reagiert und offizielle Stellungnahmen abgegeben. Das Unternehmen betont, dass keine internen Systeme oder Datenbanken gehackt wurden. In einer Stellungnahme nannte Booking.com die Angriffe „sehr überzeugend und ausgeklügelt".
Die Phishing-Vorfälle basieren nicht auf einem technischen Exploit, sondern auf Social Engineering und fehlenden Sicherheitsmechanismen. Im Zentrum steht die Kompromittierung der Hotelpartner-Konten. Die Angreifer täuschen Hotelmitarbeiter mit angeblichen Beschwerden oder Fundsachen und verstecken Schadsoftware in Anhängen.
Die Vorfälle zeigen eine gefährliche Kombination aus Social Engineering, kompromittierten Geschäftspartnern und dem Vertrauen in legitime Buchungssysteme. Kunden sollten Buchungsdetails und Zahlungsaufforderungen genau prüfen und bei Zweifeln keine Daten über Links in Nachrichten eingeben.