Die Buchung einer Unterkunft in Luxemburg kann riskant sein

Kaum ist die Buchung der Reise und die Bestätigung des Hotelzimmers abgeschlossen, erhält der Kunde über WhatsApp eine Nachricht auf sein persönliches Mobiltelefon, in der er aufgefordert wird, die Buchung zu bestätigen, da sie andernfalls storniert wird. In der Nachricht sind die genauen Daten der bevorstehenden Reise, der Vor- und Nachname des Empfängers sowie ein Link zur Eingabe seiner Daten angegeben. Da die Betrüger sich auf die Details einer echten Buchung beziehen, wirken solche Nachrichten äußerst überzeugend und richten sich an Personen, die tatsächlich vorhaben, bald einzuchecken.

Bei genauerer Betrachtung der Situation zeigen sich jedoch Anzeichen für Cyberkriminalität. Insbesondere werden die Nachrichten häufig von britischen Telefonnummern versendet, und der Hyperlink führt zu einer unbekannten Website eines Drittanbieters, die keinerlei Verbindung zur offiziellen Website des Hotels oder zur Plattform Booking.com hat. Der luxemburgische Hotel- und Gaststättenverband (Horesca) hat bereits 15 offizielle Fälle von Betrug in lokalen Hotels registriert. 

Die Angreifer geben sich als Verwaltungsmitarbeiter aus und versuchen, an Bankkartendaten zu gelangen. Die betroffenen Hotels haben bestätigt, dass diese Vorfälle das Online-Buchungssystem „Lighthouse / Cubilis“ betreffen, das den Buchungsfluss von Hotelwebsites und Aggregatoren wie Booking.com und Expedia verwaltet. Eine direkte technische Schwachstelle in der Plattform wurde bislang nicht nachgewiesen, doch die Vorfälle haben den Verband dazu veranlasst, die Angelegenheit der Polizei zu melden.

Die hohe Wirksamkeit dieser Phishing-Kampagne ist gerade auf ihren zielgerichteten Ansatz zurückzuführen, der auf echten Daten basiert. Neben WhatsApp nutzen die Kriminellen SMS-Nachrichten, E-Mails und sogar die internen Chat-Funktionen seriöser Buchungsdienste. Horesca-Generalsekretär Steve Martinelli betont, dass die wichtigsten Anzeichen für einen Betrugsversuch nach wie vor darin bestehen, dass der Absender ein falsches Gefühl der Dringlichkeit erzeugt und vertrauliche Finanzdaten abfragt. Experten raten Nutzern dringend, solche Benachrichtigungen zu ignorieren, nicht auf darin enthaltene Links zu klicken und die Hotelleitung ausschließlich über offizielle, verifizierte Kanäle zu kontaktieren.